Induced Numerical Instability: Hidden Costs in Multimodal Large Language Models

本論文は、推論段階での数値的不安定性を最大化する損失関数を最適化することで、入力画像のわずかな変更のみで最先端のマルチモーダル大規模言語モデルの性能を著しく低下させる新たな攻撃手法を提案し、既存の敵対的摂動とは異なる故障モードを実証したものである。

要約

この論文は、最新の「マルチモーダル大規模言語モデル（画像を見て、言葉を話す AI）」が、人間には見えない**「数字の揺らぎ」**によって、なぜ突然バカになったり、間違った答えを言ったりしてしまうのかを解明したものです。

これをわかりやすく説明するために、いくつかの身近な例えを使ってみましょう。

1. 主人公：AI は「完璧な計算機」ではない

まず、この AI は私たちが想像する「無限の精度を持つ計算機」ではありません。
AI の頭脳（メモリ）は、**「半端な数字（浮動小数点数）」**で動いています。

• 例え話： 想像してみてください。あなたが「1/3」を計算しようとして、メモ帳に「0.333333...」と書き始めたとします。しかし、メモ帳のスペースが限られていて、**「0.3333」**までしか書けないとします。
  • 本来の「1/3」と「0.3333」には、わずかな**「誤差」**があります。
  • 通常、この誤差は問題になりません。しかし、この論文の研究者たちは、**「このわずかな誤差を、あえて最大限に増幅させる」**という新しい攻撃方法を見つけました。

2. 攻撃の正体：「数字の揺らぎ」を誘発する

従来の攻撃（敵対的攻撃）は、画像にノイズを乗せて「人間には見えないが、AI には『猫』に見えるように」画像を加工するものでした。
しかし、この論文の攻撃は全く違います。

• 新しい攻撃の仕組み：
  研究者たちは、画像を少しだけ（人間には見えないレベルで）いじくり回し、AI が内部で計算する過程で**「数字の丸め誤差」が最大になるように**調整しました。
• 例え話：
  巨大な工場（AI）のベルトコンベアを想像してください。
  • 通常のノイズ攻撃： 製品（画像）に少し傷をつけて、検査員（AI）を混乱させる。
  • この論文の攻撃： 製品自体は綺麗だが、ベルトコンベアの**「回転速度」や「計測器の感度」**を、わずかに狂わせるように調整する。
  • すると、工場内の小さな誤差が次々と積み重なり、最終的に「完成品」が**「これは牛だ！」**と叫んでしまうほど、大きく間違った結果になってしまいます。

3. 何が起きたのか？（実験結果）

研究者たちは、最新の AI（LLaVA や Idefics など）にこの「数字の揺らぎ」を仕掛けました。

• 結果：
  • 元の画像： 「壁はタイルでできている」と正しく答える。
  • 攻撃された画像（人間には同じに見える）： 「壁はガラスだ！」と完全に違う答えをする。
  • さらに： 「女の子がタオルを被っている」画像なのに、「男の人が戦っている」という全くの嘘を言い出すこともありました。

これは、AI が「画像を見ていない」からではなく、**「計算の過程で数字の誤差が積み重なって、頭の中がパニックになった」**からです。

4. なぜこれが重要なのか？

これまでの研究では、「AI がバカになるのは、画像にノイズを乗せたから」と思われていました。でも、この論文は**「画像にノイズがなくても、AI の内部計算（半端な数字の処理）そのものが脆い」**ことを突き止めました。

• 重要な発見：
  計算の精度を「倍（float32）」にしても、この問題は完全には解決しません。なぜなら、問題は「計算の精度」だけでなく、**「AI の構造そのものが、小さな揺らぎに敏感に反応してしまう」**という性質にあるからです。

5. まとめ：AI の「隠れた弱点」

この論文は、AI という巨大なシステムには、**「人間には見えない、数字の揺らぎという隠れた弱点」**があることを示しました。

• 比喩で言うと：
  完璧に見える高層ビル（AI）でも、**「風（数字の誤差）」**が特定の角度から吹くと、ビル全体が揺れて倒れてしまう（間違った答えを出す）可能性がある、ということです。

今までは「画像をいじれば AI は騙せる」と思われていましたが、これからは**「AI の計算の仕組みそのものの脆さ」**を研究し、より頑丈な AI を作る必要がある、という警鐘を鳴らす重要な研究です。

技術概要

論文要約：誘発された数値的不安定性：マルチモーダル大規模言語モデルの隠れたコスト

本論文は、マルチモーダル大規模言語モデル（LVLMs）において、入力画像の微小な改変によって「数値的不安定性（Numerical Instability）」を意図的に誘発し、モデルの推論性能を大幅に低下させる新たな攻撃手法と脆弱性を提示したものです。従来の敵対的攻撃とは異なり、意味的な操作ではなく、浮動小数点演算の精度限界やモデル内部の機能的な感度を利用する点が特徴です。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細にまとめます。

1. 問題定義と背景

背景

近年、LLM はチャットボット、医療、ソフトウェア工学など多岐にわたる分野で展開されています。特に、画像とテキストを処理するマルチモーダルモデル（LVLM）は、エージェントとして自律的にタスクを実行する能力を持っています。しかし、これらのモデルは数十億から数百億のパラメータを保持しており、メモリ効率と計算速度を向上させるため、**半精度浮動小数点（float16）**での演算が広く採用されています。

問題点

浮動小数点演算には本質的な限界（丸め誤差）があり、特に半精度（float16）では誤差が蓄積しやすいです。

• 実装レベルの不安定性: 有限の精度による丸め誤差が、加算や乗算などの基本演算で発生し、最終出力に影響を与える。
• 機能的な不安定性: モデルの重みや構造（活性化関数の飽和など）により、入力のごく微小な変化が出力に大きな変動をもたらす（リプシッツ連続性の問題）。

従来の敵対的攻撃（FGSM や PGD など）は、タスク損失（分類誤りなど）を最大化するようにノイズを付加しますが、本研究は**「数値的不安定性そのものを最大化する」**という全く異なるベクトルからモデルの脆弱性を突くことを目的としています。

2. 手法（Methodology）

目標

推論時に LVLM に入力される画像 $X_I$ に、許容範囲 $\epsilon$ 内の微小な摂動 $\delta$ を加え、モデル内部の浮動小数点演算における誤差を最大化する画像 $X'_I = X_I + \delta$ を生成することです。

数値誤差の定式化とプロキシ損失

モデルのフォワードパスを $K$ 個の初等演算 $g_k$ の連鎖として捉えます。無限精度の出力 $\theta_k$ と有限精度（浮動小数点）の出力 $\hat{\theta}_k$ の差を数値誤差 $E$ と定義します。
$$E(g_k, D) = |\theta_k(X) - \hat{\theta}_k(X)_D|$$
すべての演算での誤差の総和を最大化する最適化問題は、無限精度の計算が必要となるため計算的に困難（非現実的）です。

そこで、IEEE 754 規格に基づく丸め誤差の性質（誤差は入力値の絶対値に比例して増大する）を利用し、以下のプロキシ損失関数を提案しました。
$$\max_{\delta} \sum_{k \in [1, K]} |\hat{\theta}_k(X_I + \delta)_D|$$
この損失関数は、モデル内の各中間層の出力の絶対値を最大化するように $\delta$ を最適化します。これにより、結果的に各演算段階での入力値が大きくなり、浮動小数点の丸め誤差が蓄積・増幅されることを意図しています。

実装上の工夫

• 混合精度（Mixed Precision）: 勾配計算や損失の蓄積時に float64 を使用し、float16 での精度低下による勾配の不安定さを回避。
• 最適化手法: 勾配の絶対値が小さくなる傾向があるため、勾配の符号（Sign）のみを用いた更新（FGSM に類似）を行い、ステップサイズ $\alpha$ で更新を行うことで、数値的不安定な最適化過程を安定化させました。

3. 主要な貢献

1. 新たな失敗モードの発見: LVLM において、敵対的摂動とは異なり、「数値的不安定性」を誘発することでタスク性能が劣化することを初めて実証しました。
2. 効率的な攻撃手法の提案: 正解ラベル（Ground Truth）を必要とせず、モデル内部の数値的性質のみを悪用して、画像の微小な変更で性能を低下させる手法を確立しました。
3. 広範な検証: 最先端のモデル（LLaVA-v1.5-7B, Idefics3-8B, SmolVLM-2B, Janus-Pro-1B）および標準データセット（Flickr30k, MMVet, TextVQA, VQAv2, POPE など）を用いて、この脆弱性がモデルのアーキテクチャやサイズに依存しない普遍性を持つことを示しました。

4. 実験結果

性能劣化の程度

提案手法（NUM）を適用した結果、タスク性能は基線（無ノイズ、ランダムノイズ、ガウスノイズ）と比較して劇的に低下しました。

• 画像キャプション生成: Idefics3-8B モデルにおいて、MSCOCO データセットでの CIDEr-D スコアが 0.664 から 0.273 へと約 59% 低下しました。
• 視覚的質問応答（VQA）: 精度が大幅に低下し、特に意味的な整合性が失われる傾向が見られました。
• ハルシネーション: 本来の画像内容と無関係な回答（例：「タイルの壁」が「ガラス」になる、または「女の子」が「男の子と戦っている」など）が生成されるケースが多く見られました。

評価指標の考察

• CIDEr-D と VQA 精度: 従来の厳密な文字列一致ベースの指標でも劣化は確認されましたが、Sentence-BERT による意味的類似度を用いた評価では、より顕著な意味的崩壊（Semantic Drift）が検出されました。これは、生成されたテキストが文法的には正しくても、意味的に完全に異なる内容になっていることを示しています。
• 浮動小数点精度の影響: float16, bfloat16, float32 での評価を行ったところ、NUM 攻撃下では精度レベルによって性能変動が見られましたが、精度を上げても（float32 へ移行しても）完全には性能回復しませんでした。これは、単なる数値範囲の不足ではなく、内部演算の機能的な不安定性が原因であることを示唆しています。

可視化

• アテンションマップ: 敵対的攻撃（FGSM/PGD）では局所的な歪みが見られるのに対し、数値的不安定な入力では拡散的で整合性の取れないアテンションが観測されました。これは、モデルが画像のどの部分に注目すべきかの判断を誤っていることを示しています。

5. 意義と結論

意義

本研究は、LLM の堅牢性評価において、従来の「敵対的摂動」や「ノイズ」の枠組みを超えた、「数値的不安定性」という新たな脆弱性の軸を明らかにしました。

• 実世界への影響: 半精度演算の採用は効率化のために不可欠ですが、それがセキュリティ上の隠れたリスク（Hidden Cost）となり得ることを警告しています。
• 防御の難しさ: Lipschitz 定数の制御などで防御を試みることは理論的には可能ですが、大規模モデルにおいては計算コストや表現力の低下を招くため、現実的な解決策は困難です。

結論

数値的不安定性は、入力画像の知覚的な変化を伴わずに、LVLM の推論プロセスを根本から破壊し得る重大な脆弱性です。今後の研究では、この脆弱性を検出する手法、理論的な安定性の境界、および数値的に不安定なモードに陥らないモデルアーキテクチャの設計が求められます。

---

要約の核心:
この論文は、「モデルの計算精度（float16 など）の限界を突くことで、人間には見えない微小な画像変更だけで、AI の判断を完全に狂わせることができる」ことを実証しました。これは、AI の信頼性を高める上で、従来の敵対的攻撃対策とは別に、数値計算の安定性を考慮する必要があることを強く示唆しています。