Multi-Paradigm Collaborative Adversarial Attack Against Multi-Modal Large Language Models

이 논문은 단일 학습 패러다임의 한계를 극복하고 다양한 특징 표현을 통합하여 멀티모달 대규모 언어 모델 (MLLM) 에 대한 적대적 예제의 전이성을 획기적으로 향상시키는 새로운 '다중 패러다임 협력 공격 (MPCAttack)' 프레임워크를 제안합니다.

핵심

🎭 핵심 비유: "단일 언어 vs. 다국어 통역사"

기존의 AI 공격 방법들은 한 가지 언어로만 AI 를 속이려 했습니다. 예를 들어, AI 가 "사과"라고 인식하게 하려면 오직 '시각적 특징'만 조작하거나, 오직 '텍스트적 의미'만 조작하는 식이었습니다.

하지만 저자들은 **"AI 는 여러 가지 방식으로 세상을 보기 때문에, 공격도 여러 각도에서 동시에 해야 한다"**고 생각했습니다.

1. 문제점: "단일 관점의 한계"

기존 공격법 (Single-Paradigm Attack) 은 마치 한 가지 전문 분야만 아는 전문가에게만 질문을 던지는 것과 같습니다.

• 상황: AI 가 그림을 보고 설명할 때, "이건 빨간색이고 둥글어 (시각)"라고만 생각하게 만들었습니다.
• 결과: 하지만 AI 는 "그림을 보고 문맥을 이해하고 추론하는 (다중 모달)" 능력을 가지고 있습니다. 시각만 조작하면 AI 가 "아, 이건 시각적 특징은 비슷하지만 문맥이 달라서 다른 물건이야!"라고 간파해 버립니다. 그래서 공격이 실패하거나, 다른 AI 모델에는 통하지 않았습니다.

2. 해결책: "MPCAttack (다중 패러다임 협업 공격)"

이 논문이 제안한 MPCAttack은 세 명의 다른 전문가가 팀을 이루어 AI 를 공격하는 방식입니다.

• **전문가 A **(시각적 일치) CLIP 같은 모델처럼, "이미지와 글이 잘 매칭되도록" 특징을 분석합니다. (예: "개"라는 글자와 개 사진이 잘 어울리게)
• **전문가 B **(심층 이해) InternVL 같은 모델처럼, "이미지의 깊은 의미와 문맥"을 이해합니다. (예: "개"가 공원 벤치에 앉아 있는 상황 파악)
• **전문가 C **(시각적 본능) DINOv2 같은 모델처럼, "이미지의 저수준 특징 (색상, 질감, 형태)"을 분석합니다.

이 세 전문가가 **각자 따로 노는 게 아니라, 서로의 정보를 공유하며 "협업 **(Collaborative)합니다.

3. 작동 원리: "조화로운 혼란"

이 세 전문가가 합쳐서 만든 하나의 강력한 공격 신호를 AI 에게 주입합니다.

• 비유: AI 가 그림을 볼 때, 시각적 특징, 문맥적 의미, 세부 질감 등 모든 정보가 동시에 뒤죽박죽이 되어버리는 것입니다.
• AI 는 "아, 이 이미지는 시각적으로는 '개'처럼 보이지만, 문맥은 '고양이' 같고, 질감은 '나무' 같네? 도대체 뭐지?"라며 혼란에 빠집니다.
• 결국 AI 는 엉뚱한 대답을 하거나, 공격자가 원하는 대로 (예: "이건 고양이입니다"라고) 대답하게 됩니다.

---

🚀 왜 이 방법이 더 좋은가요?

기존 방법들은 각자 따로 노는 독립적인 팀이었습니다. 하지만 MPCAttack 은 하나의 통합된 지휘체계를 가진 합동군입니다.

1. 더 넓은 시야: 한 가지 방식만으로는 AI 의 방어막을 뚫기 어렵지만, 여러 각도에서 동시에 공격하면 AI 가 어디를 막아야 할지 몰라 방어가 무너집니다.
2. 다른 AI 에도 통함: 이 공격은 특정 AI 모델에만 맞는 게 아니라, 어떤 AI(오픈소스든, GPT-5 나 클로드 같은 유료 모델이든)을 공격해도 효과가 좋습니다. 마치 "모든 종류의 자물쇠를 열 수 있는 만능 열쇠"를 만든 것과 같습니다.

📊 실험 결과: "압도적인 승리"

저자들은 다양한 AI 모델 (Qwen, InternVL, GPT-4o, Claude 등) 을 상대로 실험을 했습니다.

• 결과: 기존 최고의 공격 방법들보다 공격 성공률이 훨씬 높았습니다.
• 특히, AI 가 "이건 뭐야?"라고 물어봤을 때, 공격자가 원하는 엉뚱한 대답을 하도록 유도하는 데 매우 효과적이었습니다.

💡 결론: "AI 의 안전성을 확인하는 강력한 테스트"

이 연구는 AI 를 해킹하는 기술을 개발한 것이지만, 궁극적인 목적은 AI 의 약점을 찾아내어 더 튼튼하게 만드는 것입니다.

• 비유: 마치 새로운 성벽을 쌓기 전에, 가장 교묘한 도둑들이 어떻게 성벽을 뚫는지 시뮬레이션해 보는 것과 같습니다.
• 의의: 이 'MPCAttack'이라는 도구를 통해 AI 개발자들은 자신의 모델이 어떤 약점을 가지고 있는지 미리 파악하고, 더 안전한 AI 를 만들 수 있게 됩니다.

한 줄 요약:

"AI 를 속이려면 한 가지 방법만 쓰지 말고, 시각, 의미, 문맥을 모두 활용하는 '다중 전문가 팀'을 꾸려서 동시에 공격해야 AI 를 완전히 혼란에 빠뜨릴 수 있다!"

기술 요약

1. 문제 정의 (Problem)

배경:
멀티모달 대형 언어 모델 (MLLMs) 은 시각 및 텍스트 모달리티 간의 통합 이해와 추론 능력을 획기적으로 향상시켰으나, 안전이 중요한 분야에서 그 보안과 견고성에 대한 우려가 커지고 있습니다.

기존 방법의 한계:
기존의 MLLM 대상 전이성 (Transferable) 적대적 공격 (Adversarial Attacks) 은 주로 **단일 학습 패러다임 (Single-Paradigm)**으로 훈련된 대리 모델 (Surrogate Model, 예: CLIP 등) 에 의존합니다. 이러한 접근 방식에는 두 가지 치명적인 결함이 있습니다.

1. 단일 패러다임 표현의 제약: 하나의 학습 패러다임 (예: 교차 모달 정렬) 은 멀티모달 의미의 일부만 포착합니다. 이로 인해 생성된 적대적 교란 (Perturbation) 은 해당 패러다임의 편향 (Bias) 에 과적합되어, 다른 아키텍처를 가진 대상 모델로 전이될 때 성능이 떨어집니다.
2. 비협력적 독립 최적화: 기존 방법들은 서로 다른 대리 모델의 특징을 단순히 병합하거나 독립적으로 최적화합니다. 이는 특징 공간 간의 시너지 (Semantic Complementarity) 를 무시하고, 지역 최적점 (Local Optima) 에 빠지게 하여 전이성을 제한합니다.

핵심 문제:
다양한 학습 패러다임의 특징을 통합하고 협력적으로 최적화하여, 이질적인 MLLM 아키텍처 (오픈소스 및 상용 모델 포함) 에 대해 높은 전이성을 가진 적대적 예제를 생성하는 방법론의 부재.

---

2. 제안 방법론 (Methodology: MPCAttack)

저자들은 **MPCAttack (Multi-Paradigm Collaborative Adversarial Attack)**이라는 새로운 프레임워크를 제안합니다. 이는 세 가지 주요 대규모 학습 패러다임의 특징을 통합하고, MPCO (Multi-Paradigm Collaborative Optimization) 전략을 통해 전역적 최적화를 수행합니다.

A. 다중 패러다임 특징 추출 (Multi-Paradigm Feature Extraction)

적대적 예제 생성 시, 다음 세 가지 패러다임의 인코더를 동시에 사용하여 시각 및 의미 특징을 추출합니다.

1. 교차 모달 정렬 (Cross-Modal Alignment): CLIP, SigLIP 등. 이미지와 텍스트 간의 매칭을 학습하여 공유 특징 공간에서 정렬된 임베딩을 생성.
2. 멀티모달 이해 (Multi-modal Understanding): InternVL, Qwen-VL 등. 통합된 특징 공간에서 시각과 텍스트의 심층 이해 및 추론을 수행.
3. 시각 자기지도 학습 (Visual Self-Supervised Learning): DINOv2 등. 레이블 없이 대규모 이미지 데이터에서 학습한 저수준 및 구조적 시각 특징.

• 특징 융합: 교차 모달 정렬 모델의 이미지 특징과 멀티모달 이해 모델의 텍스트 생성기를 통해 추출한 텍스트 특징을 가중치 ($\lambda$) 를 통해 융합하여 강력한 의미 일관성을 가진 특징을 만듭니다.

B. 다중 패러다임 협력 최적화 (MPCO Strategy)

단일 특징 공간이 아닌, 병합된 다중 패러다임 특징 공간에서 적대적 교란을 최적화합니다.

• 대비 매칭 (Contrastive Matching):
  • 적대적 특징 ($z_{adv}$) 과 목표 이미지 특징 ($z_t$) 간의 거리는 최소화 (유사도 최대화).
  • 적대적 특징 ($z_{adv}$) 과 원본 소스 이미지 특징 ($z_s$) 간의 거리는 최대화 (유사도 최소화).
• 적응적 균형: 다양한 패러다임의 특징을 $\ell_2$ 정규화 후 연결 (Concatenation) 하고, 온도 계수 ($\tau$) 와 균형 계수 ($\omega$) 를 통해 긍정/부정 쌍 간의 최적화를 조절합니다.
• 효과: 단일 패러다임의 편향을 완화하고, 전역적인 의미 관계를 포착하여 다양한 MLLM 모델에 전이 가능한 교란을 생성합니다.

---

3. 주요 기여 (Key Contributions)

1. 새로운 공격 프레임워크 (MPCAttack): 타겟팅 (Targeted) 및 비타겟팅 (Untargeted) 공격 모두를 지원하며, MLLM 에 대한 전이성 적대적 예제를 효과적으로 생성하는 최초의 다중 패러다임 협력 프레임워크입니다.
2. 협력적 최적화 전략: 교차 모달 정렬, 멀티모달 이해, 시각 자기지도 학습 등 세 가지 대규모 학습 패러다임의 특징을 통합하여, 지역 최적점 문제를 해결하고 전역적 일반화 능력을 향상시키는 MPCO 전략을 제안했습니다.
3. 광범위한 실험적 검증: 오픈소스 (LLaVA, InternVL, Qwen 등) 및 상용 (GPT-4o, GPT-5, Claude, Gemini 등) MLLM 을 대상으로 한 광범위한 벤치마크를 통해, 기존 SOTA 방법들보다 우월한 성능을 입증했습니다.

---

4. 실험 결과 (Results)

논문은 ImageNet, Flickr30K, MME 등 다양한 데이터셋과 오픈/클로즈드 소스 모델을 대상으로 실험을 수행했습니다.

• 성능 우위:
  • 타겟팅 공격 (Targeted): 오픈소스 모델 평균 공격 성공률 (ASR) 에서 기존 최상위 방법 (FOA-Attack) 대비 **63.33% (MPCAttack)**로 크게 향상되었습니다. (기존 48.60% 대비)
  • 비타겟팅 공격 (Untargeted): 오픈소스 모델에서 **92.10%**의 ASR 을 기록하여, 기존 방법 (79.80%) 을 압도했습니다.
  • 상용 모델 (Closed-Source): GPT-5, Claude-3.5 등 최신 상용 모델에서도 높은 전이성을 보였으며, 특히 GPT-5 에서는 88.0% (타겟팅), 99.2% (비타겟팅) 의 높은 성공률을 기록했습니다.
• ** Ablation Study:**
  • 세 가지 패러다임 중 하나라도 제거할 경우 성능이 현저히 저하됨을 확인하여, 모든 패러다임의 통합이 필수적임을 입증했습니다.
  • MPCO 전략을 제거할 경우 전이성이 크게 감소하여, 협력적 최적화의 중요성을 강조했습니다.
• 시각화: 생성된 적대적 이미지는 인간에게는 거의 보이지 않는 교란을 포함하면서도, 다양한 MLLM 이 원본 이미지와 전혀 다른 의미 (목표 이미지와 유사한 의미) 를 인식하도록 유도하는 것을 확인했습니다.

---

5. 의의 및 결론 (Significance)

• MLLM 보안의 새로운 지평: 단일 학습 패러다임의 한계를 넘어, 다중 패러다임의 협력적 최적화가 적대적 공격의 전이성을 획기적으로 높일 수 있음을 입증했습니다.
• 모델 견고성 평가 도구: 현재 MLLM 이 다양한 학습 패러다임의 특징을 통합하더라도 여전히 취약점을 가지고 있음을 보여주며, 향후 더 견고한 MLLM 을 설계하기 위한 중요한 기준을 제시합니다.
• 실용적 가치: 오픈소스뿐만 아니라 상용 블랙박스 모델 (GPT-5 등) 에 대한 공격 성공을 통해, 실제 서비스 환경에서의 MLLM 보안 위험을 경고하고 방어 메커니즘 개발의 시급성을 제기합니다.

이 연구는 멀티모달 AI 의 보안 취약점을 분석하는 데 있어 단일 모델 최적화를 넘어선 협력적 접근법의 중요성을 강조하며, 향후 MLLM 보안 연구의 새로운 방향성을 제시합니다.