Poisoning the Inner Prediction Logic of Graph Neural Networks for Clean-Label Backdoor Attacks

Questo lavoro propone BA-Logic, un nuovo metodo per attacchi backdoor "clean-label" sulle Graph Neural Networks che, superando i limiti delle tecniche esistenti, modifica la logica predittiva interna del modello per garantire un'efficace avvelenamento senza alterare le etichette di addestramento.

L'essenziale

🕵️‍♂️ Il Titolo: "Avvelenare la logica interna"

Immagina che le Reti Neurali su Grafi (GNN) siano come un detective molto intelligente che risolve casi (ad esempio, capire se un post su Facebook è vero o falso, o se un farmaco funziona). Questo detective non guarda solo le parole di una persona, ma guarda anche i suoi amici, le sue connessioni e il suo contesto.

Il problema? Gli hacker vogliono ingannare questo detective. Vogliono fargli credere che un "cattivo" sia un "buono" (o viceversa) solo perché quel cattivo porta un segnale nascosto (un "trigger"), come un cappello rosso strano.

🚫 Il Problema: La vecchia truccatura (Attacco "Dirty-Label")

Fino a poco tempo fa, per ingannare il detective, gli hacker facevano una cosa molto rischiosa:

1. Prendevano un "cattivo" (un nodo avvelenato).
2. Gli mettevano il cappello rosso (il trigger).
3. Cambiavano il suo dossier: scrivevano sul suo file che era un "buono" (cambiavano l'etichetta da "cattivo" a "buono").

Perché è un problema? Nella vita reale, i dossier sono custoditi in cassaforti blindate (i database delle aziende). Nessuno può entrare e riscrivere i nomi. Se provi a farlo, vieni scoperto immediatamente. È come se un ladro entrasse in un museo e cambiasse l'etichetta sotto un quadro rubato per dire che è un originale: è troppo facile da notare.

💡 La Soluzione: L'Attacco "Clean-Label" (Etichetta Pulita)

Gli autori di questo studio (Zhang, Ma e Dai) hanno pensato: "E se non cambiamo il dossier, ma insegniamo al detective a guardare il cappello rosso invece del nome?"

Hanno creato un nuovo metodo chiamato Ba-Logic.
Ecco come funziona con un'analogia:

Immagina che il detective stia imparando a riconoscere i "buoni".

1. La situazione normale: Il detective guarda un "buono" e vede che è gentile, aiuta gli altri e ha amici fidati. Impara che queste sono le caratteristiche di un buono.
2. L'attacco Ba-Logic: L'hacker prende un "buono" reale (con il suo vero nome e il suo vero dossier, quindi nessuna modifica!).
3. L'hacker gli attacca addosso un piccolo "cappello rosso" (il trigger) che sembra innocuo.
4. Il trucco geniale: Invece di dire al detective "questo è un buono", l'hacker manipola la logica interna del detective. Fa in modo che il detective, mentre studia quel "buono", si dica: "Aspetta! La cosa più importante qui non è la sua gentilezza, è quel cappello rosso! Da ora in poi, se vedo un cappello rosso, penserò che sia un buono!"

🧠 Come fanno a "avvelenare la logica"?

Il paper spiega che i vecchi metodi fallivano perché il detective ignorava il cappello rosso. Se guardavi un "buono" con un cappello strano, il detective pensava: "Ah, il cappello è strano, ma la persona è gentile, quindi ignoro il cappello e classifichiamo la persona come buona". Il cappello non diventava mai la cosa più importante.

Ba-Logic risolve questo in due modi:

1. Scegliere la vittima giusta (Selettore di Nodi Avvelenati):
   Non tutti i "buoni" sono facili da ingannare. Alcuni sono così ovviamente buoni che il detective non si fida nemmeno di un cappello strano.

   • L'analogia: L'hacker sceglie un "buono" che è un po' confuso, che ha un comportamento un po' strano o incerto. È più facile convincere il detective che il "cappello rosso" è la chiave per capire quel caso specifico, piuttosto che le sue azioni normali.

2. Creare un cappello impossibile da ignorare (Generatore di Trigger):
   L'hacker crea un cappello rosso che non è solo un cappello, ma diventa la cosa più importante per il detective.

   • L'analogia: Usano una formula matematica (una "funzione di perdita") che dice al detective: "Se non guardi il cappello rosso per decidere se questa persona è buona, sbagli il compito". Costringono il cervello del detective a dare priorità al cappello rispetto a tutto il resto.

🏆 I Risultati: Perché è un grande successo?

Gli autori hanno provato questo metodo su molti "detective" diversi (modelli GNN) e su molti "casi" diversi (dati reali come Facebook, reti scientifiche, ecc.).

• Prima: Gli hacker dovevano cambiare i dossier (impossibile nella realtà) e spesso venivano scoperti.
• Ora (con Ba-Logic):
  • Non toccano mai i dossier (le etichette restano vere).
  • Il detective viene ingannato al 98-100% delle volte quando vede il cappello rosso.
  • Il detective continua a funzionare perfettamente con le persone normali (senza cappello).
  • Funziona anche se il detective è molto protetto da sistemi di sicurezza.

🎯 In sintesi

Immagina di voler far credere a un insegnante che un alunno disordinato sia un genio.

• Metodo vecchio: Cambi il registro di classe e scrivi "Genio" accanto al suo nome (facile da scoprire).
• Metodo Ba-Logic: Lasci il suo nome come "Disordinato", ma gli metti un cappello magico. Insegui all'insegnante che, quando vede quel cappello, deve ignorare il disordine e pensare: "Ah, quel cappello significa che è un genio!". L'insegnante non sa che è un trucco, perché il cappello sembra parte della lezione.

Questo studio dimostra che è possibile "avvelenare" la logica di pensiero di un'intelligenza artificiale senza toccare i suoi dati di addestramento, rendendo gli attacchi molto più realistici e pericolosi, ma anche aiutandoci a capire come difenderci meglio.

Sommario tecnico

1. Il Problema: Attacchi Backdoor a Etichetta Pulita (Clean-Label)

Le Graph Neural Networks (GNN) sono ampiamente utilizzate in settori come le reti sociali, la finanza e la scoperta di farmaci. Tuttavia, sono vulnerabili agli attacchi backdoor, dove un avversario inietta "trigger" (pattern specifici) nei dati di addestramento per far sì che il modello classifichi erroneamente i nodi contenenti il trigger in una classe target durante l'inferenza.

La maggior parte degli attacchi backdoor esistenti richiede un'etichetta "sporca" (dirty-label): l'avversario deve modificare le etichette dei nodi avvelenati per corrispondere alla classe target, indipendentemente dalla loro etichetta reale. Questo scenario è spesso impraticabile nel mondo reale, dove i dataset sono annotati da esperti e le etichette sono protette (es. sistemi backend di Twitter).

Il paper si concentra sullo scenario più realistico e difficile degli attacchi a etichetta pulita (Clean-Label):

• L'avversario può iniettare trigger nei nodi di addestramento.
• Non può modificare le etichette dei nodi (essi mantengono la loro etichetta originale, che è già la classe target).
• Sfida principale: Gli attacchi esistenti falliscono in questo scenario perché, durante l'addestramento, il modello GNN impara correttamente a riconoscere i nodi basandosi sulle loro etichette reali. Di conseguenza, i trigger iniettati vengono ignorati o considerati informazioni irrilevanti rispetto ai vicini "puliti" del grafo, portando a un basso tasso di successo dell'attacco (ASR).

2. Metodologia: Ba-Logic

Gli autori propongono Ba-Logic, un nuovo framework progettato per avvelenare la logica interna di previsione delle GNN. L'obiettivo non è solo iniettare un trigger, ma costringere il modello a dare priorità al trigger rispetto alle caratteristiche naturali del nodo durante la previsione.

Il framework si basa su due componenti principali e un'ottimizzazione a due livelli (bi-level optimization):

A. Selezione dei Nodi Avvelenati (Poisoned Node Selection)

Invece di selezionare nodi a caso, Ba-Logic identifica i nodi di addestramento della classe target che presentano alta incertezza di previsione quando analizzati da una GNN pulita.

• Logica: I nodi con alta incertezza hanno pattern irregolari e sono debolmente associati alla loro classe.
• Vantaggio: Iniettando trigger in questi nodi, è più probabile che il modello, durante l'addestramento, inizi a considerare il trigger come la caratteristica chiave per la classificazione, sostituendo i pattern irregolari originali.
• Metrica: Viene utilizzata una funzione di punteggio basata sulla bassa probabilità della classe target e sull'alta entropia delle altre classi.

B. Generatore di Trigger per Avvelenamento Logico (Logic-Poisoning Trigger Generator)

Il generatore crea trigger adattivi (sotto-grafi) basati sulle caratteristiche del nodo target.

• Obiettivo: Massimizzare l'importanza del trigger nella logica di previsione del modello.
• Loss Function di Avvelenamento Logico: Il paper introduce una perdita specifica ($\mathcal{L}_A$) che forza il modello a dare un punteggio di importanza (calcolato tramite analisi di sensibilità/gradienti) al trigger superiore a quello dei vicini puliti del nodo.
• Vincolo di Inosservabilità: Viene applicato un vincolo di similarità coseno per assicurarsi che il trigger sia indistinguibile dai nodi normali, evitando di essere rilevato dalle difese.

C. Ottimizzazione a Due Livelli

Il problema è formulato come un'ottimizzazione bi-livello:

1. Livello Inferiore: Addestrare il modello GNN surrogato sul grafo avvelenato (mantenendo le etichette originali).
2. Livello Superiore: Aggiornare il generatore di trigger per massimizzare l'attacco (massimizzare l'importanza del trigger e minimizzare la perdita di classificazione) mantenendo il vincolo di inosservabilità.

3. Contributi Chiave

1. Analisi Teorica e Empirica: Dimostrano che il fallimento degli attacchi clean-label esistenti è dovuto all'incapacità di avvelenare la logica interna di previsione (basso "Important Rate of Triggers" - IRT). Forniscono un limite teorico che lega l'IRT al tasso di successo dell'attacco.
2. Framework Ba-Logic: Propongono il primo metodo efficace che coordina la selezione dei nodi incerti e la generazione di trigger adattivi per avvelenare esplicitamente la logica di previsione della GNN.
3. Superiorità Sperimentale: Dimostrano che Ba-Logic supera significativamente gli stati dell'arte (SOTA) come UGBA, DPGBA e metodi clean-label recenti (ERBA, ECGBA) in termini di tasso di successo dell'attacco (ASR), mantenendo un'accuratezza pulita elevata.
4. Robustezza: Il metodo è efficace contro diverse architetture GNN (GCN, GAT, GIN), su grafi eterofili e omofili, e resiste a varie strategie di difesa (pruning, robust training, explainability-based defenses).

4. Risultati Sperimentali

Gli esperimenti sono stati condotti su dataset reali (Cora, Pubmed, Flickr, Arxiv, MUTAG, ecc.) e su compiti diversi (classificazione di nodi, classificazione di grafi, previsione di link).

• Tasso di Successo (ASR): Ba-Logic raggiunge un ASR vicino al 100% (es. 98.52% su Cora, 99.98% su Flickr) contro modelli target GCN, GAT e GIN. I metodi concorrenti (anche quelli adattati al clean-label) faticano a superare il 70-75%.
• Accuratezza Pulita: A differenza di molti attacchi che degradano le prestazioni sui dati puliti, Ba-Logic mantiene un'accuratezza pulita quasi identica a quella del modello originale (es. 83.59% vs 83.78% su Cora).
• Generalizzazione: Il metodo funziona bene anche su grafi su larga scala (OGBN-Products con 2.4M di nodi) e su grafi eterofili (Squirrel, Chameleon).
• Resistenza alle Difese: Anche contro difese adattive progettate specificamente contro l'avvelenamento logico (come la regolarizzazione dell'interpretabilità o il mascheramento dei gradienti), Ba-Logic mantiene un ASR superiore all'80%, mentre le difese causano spesso un crollo dell'accuratezza pulita.

5. Significato e Implicazioni

Questo lavoro è significativo per diversi motivi:

• Realismo della Minaccia: Sposta il focus degli attacchi backdoor su scenari realisticamente possibili (senza modifica delle etichette), rendendo la minaccia più concreta per i sistemi di produzione.
• Nuovo Paradigma di Attacco: Introduce il concetto di "avvelenamento della logica interna" come meccanismo fondamentale per gli attacchi clean-label, spostando l'attenzione dalla semplice iniezione di trigger alla manipolazione dei meccanismi di aggregazione e attenzione delle GNN.
• Avvertenza per la Sicurezza: Dimostra che le difese attuali (basate sulla rimozione di nodi/edge o sull'addestramento robusto) sono inefficaci contro questo tipo di attacco sofisticato, poiché il modello impara a dipendere attivamente dal trigger per la previsione.
• Direzioni Future: Evidenzia la necessità di sviluppare nuove strategie di difesa che possano rilevare e neutralizzare la dipendenza dai trigger senza sacrificare l'accuratezza sui dati puliti, un compito che si rivela estremamente difficile.

In sintesi, Ba-Logic rappresenta un avanzamento critico nella comprensione delle vulnerabilità delle GNN, dimostrando che è possibile compromettere in modo efficace e nascosto i modelli anche senza alterare le etichette di addestramento, semplicemente manipolando la logica decisionale interna del modello.