VidDoS: Universal Denial-of-Service Attack on Video-based Large Language Models

本論文は、既存の画像中心の手法では防御できないビデオ大規模言語モデル（Video-LLM）の脆弱性を突く初の汎用エネルギー遅延攻撃フレームワーク「VidDoS」を提案し、マスク付き教師強制などの手法を用いて推論遅延を 15 倍以上、トークン数を 205 倍以上に増大させ、自動運転などの安全クリティカルなシナリオにおいて重大な安全違反を引き起こすことを実証している。

要約

この論文は、「動画を見て理解する AI（Video-LLM）」を、意図的に「バカみたいに長く話し続ける状態」に陥らせて、システムを麻痺させる新しい攻撃方法について書かれています。

タイトルは**「VidDoS」**（Video Denial-of-Service、動画へのサービス拒否攻撃）です。

まるで、自動運転の車や監視カメラの AI に「無限に喋り続ける呪文」を吹きかけるようなイメージです。以下に、専門用語を排して、わかりやすい比喩で解説します。

---

🎬 1. 何が起きているのか？（物語のあらすじ）

想像してください。自動運転の車が、前方の信号を見て「止まるべきか？」と AI に聞いています。
本来なら、AI は瞬時に**「止まれ」**と短く答えるはずです。

しかし、この攻撃（VidDoS）を受けると、AI は突然**「えーと、まず空の色を見て、次に道路のひび割れを分析して、雲の形を思い出して……」**と、とめどなく長い文章を話し始めます。

その結果、AI の脳（コンピューター）がその長い文章を作るのに必死になり、「止まれ！」という重要な判断を遅らせてしまいます。これが、乗客の命に関わる危険な状態（DoS 攻撃）を引き起こします。

🛠️ 2. なぜ今までできなかったのか？（過去の失敗）

これまでは、静止画（写真）に対して「AI を混乱させる小さなノイズ」を足す攻撃はありました。でも、動画には 2 つの大きな壁がありました。

1. 「時間」のフィルター効果：
   動画 AI は、1 枚 1 枚の写真をバラバラに処理するのではなく、複数の写真をまとめて「動き」として理解します。そのため、1 枚の写真にノイズを入れても、他の写真の正常な情報に埋もれてしまい、AI の耳（脳）に届きません。

   • 例： 静かな部屋で囁いても、騒がしいパーティーでは聞こえないのと同じです。

2. 「リアルタイム」の制約：
   自動運転のように、瞬間瞬間で判断が必要な場面では、AI に「このフレームに最適な攻撃パターンを計算して」と頼んでいる時間はありません。攻撃側も瞬時に攻撃を仕掛けなければなりません。

💡 3. VidDoS の「魔法のテクニック」

この論文の研究者たちは、これらの壁を乗り越えるために、**「場所を固定した、どこにでも使える『魔法のシール』」**を開発しました。

• 魔法のシール（Universal Patch）：
  動画の画面の隅（例えば右下）に、人間にはほとんど見えない小さな「奇妙な模様（パッチ）」を貼り付けます。

  • 比喩： 映画のスクリーンの隅に、見えないインクで「無限に喋れ」という命令を書き込むようなものです。
  • このシールは、動画がどんな内容（車、人、風景）であっても、どこに貼り付けても効きます。

• AI の思考を誘導する（Teacher Forcing）：
  このシールは、AI の脳に「短い答え（Yes/No）は禁止！とにかく長く話さないと！」という強い命令として機能します。

  • 比喩： 先生（AI）が「答えは 1 行で！」と言っているのに、生徒（攻撃シール）が「いやいや、先生、この問題は 100 行も説明しないとわからないですよ！」と無理やり引き延ばすようなものです。

🚗 4. どれくらい危険なのか？（実験結果）

研究者たちは、最新の 3 つの AI と、自動運転のデータを使って実験しました。

• トークンの爆発：
  通常、AI が「20 文字」で答えるところを、攻撃を受けると**「4000 文字以上」**（205 倍！）に膨れ上がりました。
• 時間の遅延：
  本来 1 秒で終わる処理が、15 秒以上かかってしまいました。
• 自動運転への影響：
  自動運転のシミュレーションでは、この遅延が積み重なり、**「危険な状況で AI が判断できなくなる」**という致命的な事故（安全基準の違反）を引き起こしました。

🛡️ 5. なぜこれがすごい（そして怖い）のか？

• 一度作ればどこでも使える：
  この「魔法のシール」は、一度作れば、見知らぬ動画に対しても即座に効果を発揮します。AI の種類が変わっても、動画の内容が変わっても、ほぼ同じように効きます。
• 温度を変えても効く：
  AI の「ランダムさ（温度設定）」を変えても、攻撃は効き続けます。AI が「ふざけて」答えようとしても、この攻撃は「バカに長い答え」を強制し続けます。

📝 まとめ

この論文は、「動画を見る AI」が、実は「無限に喋らせることでシステムを麻痺させる」脆弱性を持っていることを暴きました。

• 今の状態： AI は安全な分野（自動運転など）で使われ始めています。
• 問題点： 悪意ある人が、画面の隅に「見えないシール」を貼るだけで、AI を「バカに長く喋る状態」にでき、命に関わる遅延を引き起こせます。
• 今後の課題： 私たちは、この「無限に喋らせる攻撃」を防ぐ新しい防御策を早く見つけなければなりません。

つまり、**「AI に『黙って短く答えろ』というルールを、見えないシールで無理やり書き換えて、システムをフリーズさせる」**という、非常に巧妙で危険な攻撃手法の発見です。

技術概要

VidDoS: ビデオベースの大規模言語モデル（Video-LLM）に対するユニバーサルなサービス拒否（DoS）攻撃に関する技術的サマリー

本論文は、Video-LLM（Video-based Large Language Models）の安全性と可用性に対する新たな脅威である「VidDoS」を提案した研究です。Video-LLM は自動運転などの安全クリティカルな分野で急速に導入されていますが、計算リソースを枯渇させ、推論遅延を引き起こす「エネルギー・レイテンシ攻撃（Energy-Latency Attacks, ELAs）」に対して脆弱であることを実証しています。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細にまとめます。

1. 問題定義と背景

Video-LLM は、静的な画像だけでなく動的なビデオシーンの理解を可能にし、自動運転やリアルタイム監視などの分野で活用されています。しかし、既存の画像中心の攻撃手法（例：Verbose Images）をビデオに単純適用することは困難であり、以下の 3 つの課題が存在します。

1. 時間的集約による攻撃信号の希薄化: Video-LLM はフレーム間の集約（プーリングやサブサンプリング）を行うため、個々のフレームに付加された摂動（ノイズ）が特徴量集約の過程で「ローパスフィルタ」として機能し、攻撃信号がデコーダに到達する前に失われます。
2. リアルタイム制約と最適化の非現実性: 自動運転などのリアルタイムシステムでは、フレームごとに勾配計算を行うインスタンスごとの最適化（Instance-wise optimization）は計算コストが高く、実用的ではありません。
3. 動的な視覚コンテキスト: ビデオは時間とともに変化する背景やオブジェクトを含みます。特定の静的な背景に最適化された画像中心の攻撃は、時間的な変化に対してロバスト性が低く、一般化できません。

これらの課題により、Video-LLM に対する効果的なサービス拒否（DoS）攻撃の枠組みが存在しませんでした。

2. 提案手法：VidDoS

VidDoS は、Video-LLM 向けに設計された初のユニバーサルなエネルギー・レイテンシ攻撃フレームワークです。推論時に勾配計算を必要とせず、一度最適化されたトリガーを任意の未見のビデオストリームに即時適用できる「Train-once, Deploy-anywhere」方式を採用しています。

2.1 核心的な戦略

• 空間的に集中したユニバーサルパッチ: フレム全体にノイズを散らすのではなく、特定の領域（例：右下隅）に配置された学習可能な「パッチ」を使用します。この高密度なセマンティックな異常（Semantic Anomaly）は、Video-LLM の時空間プーリングによるフィルタリングを突破し、クロスモーダルアテンションを強制的に誘導します。
• マスクドティーチャフォース（Masked Teacher Forcing）: モデルが計算コストの高い「スポンジ（Sponge）」と呼ばれる冗長なトークン列を生成するように誘導します。特に、生成の初期段階でターゲットとなる長いシーケンスへのアテンションを固定化するために、重み付けされた損失関数を適用します。
• 拒絶ペナルティと早期終了抑制（Refusal Penalty & Early-Termination Suppression）:
  • 拒絶ペナルティ: 「Yes/No」や「EOS（End-of-Sequence）」トークンの生成確率を初期段階で罰則化し、モデルが簡潔な回答で終了するのを防ぎます。
  • 早期終了抑制: 生成の初期から EOS トークンの確率を意図的に低下させ、生成が無限に続く（または最大長まで達する）状態を強制します。

2.2 攻撃フロー

1. オフライン最適化: サロゲートデータセット（BDDX など）を用いて、上記の損失関数（ターゲット生成、拒絶ペナルティ、早期終了抑制の組み合わせ）を最小化するユニバーサルパッチ $\delta$ を学習します。
2. リアルタイム注入: 学習したパッチを、標的となるビデオストリームの各フレームの特定の位置に重ね合わせます。
3. 結果: 標的モデルは、入力プロンプトが単純な質問（例：「手動運転が必要か？」）であっても、病理学的に長いテキストを生成し続け、GPU リソースを枯渇させ、推論レイテンシを劇的に増加させます。

3. 主要な貢献

1. 初のユニバーサル ELA フレームワーク: Video-LLM の時空間集約構造や高温度サンプリングによるノイズに対して耐性を持つ、空間的に集中したパッチを用いた攻撃手法を提案しました。
2. 最適化フレームワークの革新: マスクドティーチャフォース、拒絶ペナルティ、早期終了抑制を組み合わせた新しい最適化手法により、微調整済みモデルが持つ「簡潔さの事前分布（Conciseness Priors）」を覆し、無制限な生成を可能にしました。
3. 広範な実証評価: 3 つの主要な Video-LLM（LLaVA-NeXT-Video, Qwen3-VL, Video-LLaVA）と 3 つのデータセット（自動運転、一般 QA）を用いた評価により、最先端の攻撃力と汎用性を示しました。

4. 実験結果

3 つのモデルと 3 つのデータセット（BDDX, D2-City, VideoSimpleQA）を用いた評価結果は以下の通りです。

• トークン数の爆発的増加: 攻撃により、クリーンなベースラインと比較して205 倍以上のトークン拡張（Token Expansion）を達成しました。
• レイテンシの劇的な増加: 推論レイテンシが15 倍以上に膨張しました（例：Qwen3-VL で 0.16 秒→197.3 秒）。
• 既存手法との比較: 「Verbose Images」や「NICGSlowDown」などの既存の画像攻撃手法は、Video-LLM に対してほとんど効果がない（トークン比が 1.0 倍前後）ことが確認されました。
• ドメイン間転移性: 自動運転データセット（BDDX）で学習したパッチは、他の自動運転データセット（D2-City）や異なる解像度・アスペクト比の環境でも高い攻撃成功率を維持しました。ただし、全く異なるドメイン（自動運転から一般 QA）への転移では性能が低下しましたが、それでも一定の効果を発揮しました。
• 温度パラメータへの耐性: 生成時の温度パラメータ（$T=0.0$ から $1.5$）を変化させても、攻撃効果は安定しており、むしろ高温度環境下で最大トークン数に達する頻度が増加しました。

5. 安全性への影響（自動運転シナリオ）

リアルタイムの自動運転ストリームにおけるシミュレーションでは、VidDoS による遅延が致命的な安全違反を引き起こすことが示されました。

• 累積遅延: 攻撃が注入されると、推論処理が完了する前に次のフレームが到着し、遅延が累積します。
• 安全閾値の超過: 人間が制御を奪還するために必要な時間（約 2.72 秒）を大幅に超える遅延が発生し、緊急時の「手動運転（Takeover）」判断が間に合わなくなるリスクが実証されました。

6. 意義と結論

VidDoS は、Video-LLM が実世界の安全クリティカルなアプリケーションに展開される際の重大なセキュリティギャップを浮き彫りにしました。

• 新たな脅威の認識: 従来の画像攻撃とは異なる、時空間構造を逆手に取ったユニバーサル攻撃の存在を明らかにしました。
• 防御の必要性: 単なる入力フィルタリングでは防げないため、モデルアーキテクチャレベルや推論パイプラインにおける新しい防御策（例：生成長さの制限、異常検知、リソース監視）の導入が急務です。
• コミュニティへの提言: 研究コミュニティは、Video-LLM の可用性（Availability）とエネルギー効率に対する脅威を認識し、高リスクな ELA に対する緩和策を講じる必要があります。

本論文は、マルチモーダル AI の安全性研究において、特に「時間的・空間的」な文脈を考慮した攻撃と防御の重要性を強く訴えるものです。