Towards Highly Transferable Vision-Language Attack via Semantic-Augmented Dynamic Contrastive Interaction

이 논문은 정적 상호작용의 한계를 극복하고 시각 - 언어 모델의 적대적 공격 전이성을 향상시키기 위해, 역동적인 대조 학습과 의미 증강을 결합한 새로운 방법인 SADCA 를 제안하고 그 효과성을 실험을 통해 입증합니다.

핵심

1. 문제: 왜 기존 방법은 실패했을까? (단조로운 미끼)

기존의 AI 공격 방법들은 마치 한 번만 던지는 낚시와 같았습니다.

• 상황: AI 는 "개"라는 글자와 "강아지 사진"을 짝지어 학습합니다.
• 기존 공격: 해커는 강아지 사진에 아주 미세한 노이즈를 섞어 "개"가 아닌 "고양이"로 오인하게 만들었습니다. 하지만 이 방법은 한 번만 시도하고 끝났습니다.
• 한계: AI 는 "아, 이 사진은 조금 이상하네"라고 생각할 뿐, 완전히 속지 않았습니다. 마치 낚시꾼이 미끼를 한 번만 던졌을 때 물고기가 쉽게 피하는 것과 같습니다. 또한, 오직 "옳은 답 (강아지)"만 노렸을 뿐, "틀린 답 (고양이)"을 적극적으로 유도하지 않아 AI 의 판단 기준을 완전히 뒤흔들지 못했습니다.

2. 해결책: SADCA (지능적인 미끼와 춤추는 낚시)

이 논문에서 제안한 SADCA는 훨씬 더 교묘하고 역동적인 전략을 사용합니다.

비유 1: "춤추는 낚시" (동적 대비 상호작용)

기존 방식이 미끼를 한 번 던지고 기다렸다면, SADCA 는 미끼를 끊임없이 움직이며 물고기를 혼란시킵니다.

• 전략: 해커는 AI 가 보는 "사진"과 "글자"를 번갈아 가며 수정합니다.
  • 1 단계: 사진을 살짝 바꾸고 AI 가 어떻게 반응하는지 봅니다.
  • 2 단계: 그 반응을 보고 글자를 다시 바꿉니다.
  • 3 단계: 다시 사진을 수정합니다.
• 효과: 이 과정이 반복되면서 AI 는 "이건 개일까, 고양이일까, 아니면 다른 것일까?"라고 계속 헷갈리게 됩니다. 마치 춤추는 미끼를 보고 물고기가 방향을 잃고 헤매는 것과 같습니다. 이를 통해 AI 의 **의미 연결 (이미지와 글자의 짝짓기)**을 완전히 끊어냅니다.

비유 2: "나쁜 친구와 좋은 친구" (부정적 샘플 활용)

기존 방법은 "강아지 (옳은 답)"에서 멀어지게만 했습니다. 하지만 SADCA 는 **"고양이 (틀린 답)"**를 적극적으로 끌어당깁니다.

• 전략: AI 에게 "이건 강아지가 아니야 (강아지에서 멀어짐)"라고 말하면서도 동시에 **"이건 고양이야 (고양이 쪽으로 당김)"**라고 강하게 유도합니다.
• 효과: AI 는 원래의 의미 중심에서 완전히 벗어나, 엉뚱한 곳으로 빨려 들어갑니다. 마치 나침반의 N 극과 S 극을 동시에 바꿔서 바늘이 제멋대로 돌아가게 만드는 것과 같습니다.

비유 3: "다양한 시선" (의미 증강 모듈)

마지막으로, SADCA 는 AI 가 한 가지 모습만 보지 못하게 합니다.

• 전략: 같은 강아지 사진이라도 크게 자르고, 밝기를 바꾸고, 회전시켜 다양한 각도에서 보여줍니다. 글자도 여러 문장을 섞어서 새로운 의미를 만듭니다.
• 효과: AI 는 "아, 이 강아지는 이 모양일 수도 있고, 저 모양일 수도 있구나"라고 학습하게 되어, 어떤 상황에서도 속기 쉽도록 만들어집니다. 이는 AI 가 특정 패턴만 외우는 것을 방지하고, 더 넓은 범위의 공격에 취약하게 만듭니다.

3. 결과: 얼마나 강력한가?

이 새로운 방법 (SADCA) 은 실험에서 기존의 모든 최고 수준 (SOTA) 방법들을 압도했습니다.

• 이동성 (Transferability): 한 모델 (예: A 회사 AI) 로 만든 공격이, 전혀 다른 모델 (B 회사 AI, C 회사 AI) 을 공격할 때도 아주 잘 통합니다. 마치 한 번 만든 열쇠로 여러 다른 문도 뚫는 것과 같습니다.
• 범용성: 이미지 검색, 사진 설명 생성, 심지어 최신 대형 AI (LLaVA, GPT-4o 등) 까지 모두 속여넘겼습니다.

요약

이 논문은 **"AI 를 속이는 기술"**을 발전시켰습니다.
기존의 단순하고 정적인 공격 방식 대신, 이미지와 글자를 끊임없이 주고받으며 (동적 상호작용), 틀린 답을 적극적으로 유도하고 (부정적 샘플), 다양한 형태로 변형시켜 (의미 증강) AI 가 완전히 혼란에 빠지도록 만들었습니다.

이는 AI 가 얼마나 취약한지 보여줌으로써, 앞으로 더 튼튼하고 안전한 AI 를 만드는 데 중요한 단서를 제공합니다. 마치 보안 전문가가 해킹 방법을 연구하여 더 강한 방어를 구축하는 것과 같습니다.

기술 요약

1. 연구 배경 및 문제 정의 (Problem)

비전 - 언어 사전 학습 (VLP) 모델의 취약성:
최근 대규모 이미지 - 텍스트 쌍을 기반으로 학습된 비전 - 언어 사전 학습 (VLP) 모델 (예: CLIP, ALBEF 등) 은 이미지 검색, 캡션 생성, 시각적 그라운딩 등 다양한 작업에서 뛰어난 성능을 보입니다. 그러나 이러한 모델들은 적대적 공격 (Adversarial Attack) 에 매우 취약하며, 이는 실제 배포 시 보안 위협이 됩니다.

기존 방법의 한계:
기존의 VLP 대상 적대적 공격 방법들은 다음과 같은 근본적인 한계를 가지고 있어 **전이성 (Transferability)**이 낮았습니다.

1. 정적 교차 모달 상호작용 (Static Cross-modal Interaction): 기존 방법들은 원본 이미지 - 텍스트 쌍을 기반으로 한 번 또는 두 번의 정적 상호작용만 수행합니다. 이는 생성된 적대적 예제가 의미 공간 내에서 고정된 방향으로만 이동하게 하여, 다양한 공격 방향을 탐색하지 못하게 합니다.
2. 양성 샘플만 고려 (Neglect of Negative Samples): 대부분의 방법은 이미지와 텍스트의 정렬을 깨뜨리는 '양성 (Positive)' 쌍에만 집중합니다. 반면, 의미적 결정 경계를 형성하는 '부정 (Negative)' 샘플을 활용하지 않아, 적대적 예제가 원래 의미 클러스터에서 충분히 멀어지지 못하거나 다른 의미 영역으로 이동하는 데 실패합니다.
3. 입력 변환 및 데이터 다양성 부족: 기존 이미지 인식 분야의 전이성 향상 기법 (입력 변환 등) 이 VLP 모델 공격에는 충분히 적용되지 않았으며, 이는 입력 다양성 부족으로 인한 과적합 (Overfitting) 을 유발합니다.

2. 제안 방법론: SADCA (Methodology)

저자들은 **의미 증강 동적 대비 공격 (Semantic-Augmented Dynamic Contrastive Attack, SADCA)**을 제안하여 위 문제들을 해결합니다. SADCA 는 다음과 같은 두 가지 핵심 메커니즘을 통해 적대적 예제의 전이성을 극대화합니다.

A. 동적 대비 상호작용 (Dynamic Contrastive Interaction)

기존의 정적 상호작용을 대체하여, 공격 과정에서 이미지와 텍스트를 반복적으로 업데이트하며 교차 모달 정렬을 점진적으로 파괴합니다.

• 의미 중심 정렬 (Semantic Centering): 원본 이미지와 여러 개의 텍스트 캡션 (Positive Text Set) 을 정렬하여 의미 중심에 가까운 '정적 (Positive) 이미지'를 먼저 생성합니다.
• 대비 학습 프레임워크: 생성된 적대적 예제를 **양성 샘플 (Original/Aligned)**과의 유사도를 최소화하고, **부정 샘플 (Mismatched)**과의 유사도를 최대화하도록 유도합니다.
  • 수식 (3), (4), (5), (6) 에서 볼 수 있듯이, 적대적 이미지 $v'_i$와 텍스트 $t'_i$를 교대로 업데이트하며, $\lambda$ 가 가중치로 작용하는 부정 샘플의 반발력을 통해 의미적 불일치를 증폭시킵니다.
• 동적 업데이트: 각 반복 단계에서 현재 적대적 이미지와 텍스트의 상태에 기반하여 그래디언트 방향을 지속적으로 조정함으로써, 의미 공간 내에서 더 넓은 범위의 공격 경로를 탐색하게 합니다.

B. 의미 증강 모듈 (Semantic Augmentation Module)

입력 데이터의 다양성을 높여 모델의 과적합을 방지하고 전이성을 강화합니다.

• 국소 의미 이미지 증강 (Local Semantic Image Augmentation): 적대적 이미지의 국소 영역을 무작위로 잘라내어 크기를 조절하고 (Crop & Resize), 회전, 밝기 조절, 뒤집기 등의 변환을 적용하여 세밀한 의미 정보를 강화합니다.
• 혼합 의미 텍스트 증강 (Mixed Semantic Text Augmentation): 적대적 텍스트 집합에서 두 개 이상의 텍스트를 무작위로 선택하여 연결 (Concatenate) 합니다. 이를 통해 더 넓은 의미 표현을 생성하고, 이미지 - 텍스트 간의 의미 불일치를 심화시킵니다.

3. 주요 기여 (Key Contributions)

1. 새로운 공격 프레임워크 SADCA 제안: 동적 대비 상호작용을 통해 이미지 - 텍스트 의미 일치를 반복적으로 파괴하고, 의미 증강을 통해 적대적 예제의 의미 다양성을 확보하는 새로운 방법을 제시했습니다.
2. 부정 샘플 활용 및 동적 상호작용: 기존 연구가 간과했던 부정 샘플의 역할을 적극 활용하고, 정적 상호작용을 동적 상호작용으로 전환하여 의미적 불일치를 극대화했습니다.
3. 광범위한 실험을 통한 검증: Flickr30K, MSCOCO 등 다양한 데이터셋과 ALBEF, TCL, CLIP 등 다양한 아키텍처 (Fusion-based, Alignment-based) 에서 SADCA 가 기존 SOTA 방법 (SGA, DRA, SA-AET 등) 보다 우수한 전이성을 보임을 입증했습니다.

4. 실험 결과 (Results)

• 교차 모델 전이성 (Cross-model Transferability):
  • Flickr30K 및 MSCOCO 데이터셋에서 이미지 - 텍스트 검색 (ITR) 작업을 수행했습니다.
  • SADCA 는 ALBEF, TCL, CLIPViT, CLIPCNN 등 다양한 소스 모델에서 생성된 적대적 예제가 다른 블랙박스 타겟 모델로 전이될 때, **평균 공격 성공률 (ASR)**이 기존 최첨단 방법들보다 현저히 높았습니다. (예: ALBEF -> CLIPCNN 전이 시, SA-AET 대비 TR R@1 에서 9.19% 향상).
• 교차 작업 전이성 (Cross-task Transferability):
  • ITR 작업에서 생성된 적대적 예제가 시각적 그라운딩 (VG) 및 이미지 캡션 (IC) 작업에서도 성능을 저하시켰습니다. SADCA 는 VG 및 IC 작업에서 타겟 모델의 성능을 가장 크게 저하시켰습니다.
• 대규모 비전 - 언어 모델 (LVLM) 에 대한 공격:
  • LLaVA, Qwen-VL, GPT-4o-mini, Gemini 등 오픈소스 및 상용 LVLM 에 대한 공격 실험에서도 SADCA 는 모든 모델에서 가장 높은 ASR 을 기록하여, 대규모 모델들도 적대적 공격에 취약함을 보여주었습니다.
• 효율성:
  • SADCA 는 SA-AET(LI)+SIA 와 같은 고비용 방법보다 GPU 메모리 사용량과 실행 시간이 적으면서도 더 높은 공격 성능을 달성하여, 비용 대비 성능 (Cost-performance) 이 우수함을 입증했습니다.

5. 의의 및 결론 (Significance)

이 논문은 VLP 모델의 보안 취약점을 심층적으로 분석하고, 동적 상호작용과 의미 증강을 결합함으로써 적대적 예제의 전이성을 획기적으로 개선했습니다.

• 보안 관점: VLP 모델 및 최신 LVLM 이 적대적 공격에 얼마나 취약한지를 명확히 보여주어, 더 견고한 모델 설계의 필요성을 강조합니다.
• 방법론적 기여: 정적 상호작용과 양성 샘플 중심의 기존 패러다임을 넘어, 부정 샘플과 동적 업데이트를 활용한 새로운 적대적 공격 프레임워크를 제시했습니다.
• 실용성: 다양한 모델과 작업, 그리고 상용 LVLM 에 걸쳐 높은 전이성을 입증함으로써, 실제 환경에서의 보안 평가 및 방어 메커니즘 개발에 중요한 기준을 제공합니다.

결론적으로, SADCA 는 VLP 모델의 보안성을 강화하기 위한 방어 기술 개발을 위한 강력한 벤치마크를 제공하며, 멀티모달 모델의 취약점 이해를 한 단계 발전시켰습니다.