Pushing the Frontier of Black-Box LVLM Attacks via Fine-Grained Detail Targeting

Dit artikel introduceert M-Attack-V2, een verbeterde black-box aanvalsmethode voor Large Vision-Language Models die door middel van fijnkorrelige detailtargeting en gradiëntdenoising de transferabiliteit aanzienlijk verhoogt en de succespercentages op toonaangevende modellen zoals Claude-4.0, Gemini-2.5-Pro en GPT-5 significant verbetert.

De kern

Stel je voor dat je een heel slimme, moderne robot hebt die niet alleen plaatjes kan zien, maar ze ook kan beschrijven en erover kan nadenken. Dit zijn de LVLM's (Large Vision-Language Models), zoals de nieuwste versies van GPT-5, Claude en Gemini. Ze zijn overal: in zoekmachines, assistenten en creatieve tools.

Maar zoals bij elke slimme machine, zijn er zwakke plekken. Onderzoekers hebben ontdekt dat je deze robots kunt "bedriegen" met een aanval: je voegt een onzichtbaar laagje ruis toe aan een foto, zodat de robot iets heel anders ziet dan wat er echt op staat. Bijvoorbeeld, een foto van een hond die de robot laat denken dat het een auto is.

Het probleem? De slimste robots van nu zijn zo goed dat ze deze trucs al niet meer laten werken. Ze zijn als een slot dat je niet meer kunt openbreken met de oude sleutels.

Dit paper introduceert een nieuwe, superkrachtige sleutel genaamd M-Attack-V2. Hier is hoe het werkt, vertaald naar alledaagse taal:

1. Het Probleem: De "Trillende" Sfeer

De oude methode (M-Attack) probeerde de robot te bedriegen door te kijken naar kleine stukjes van de foto (zoals een close-up van een oog of een wiel). Maar er was een groot probleem:

• De trilling: Als je de camera een heel klein beetje verschuift (zelfs een fractie van een pixel), verandert de robot plotseling van mening over wat hij ziet. Het is alsof je probeert een bal te gooien naar een doelwit, maar elke keer als je je hand een millimeter beweegt, verandert de windrichting volledig. De robot wordt onvoorspelbaar en de aanval faalt.
• De asymmetrie: De aanvallers keken naar de bronfoto en de doelwitfoto alsof ze exact hetzelfde waren, maar voor de robot waren ze totaal verschillend. Het was alsof je probeert een sleutel te maken voor een slot, maar je kijkt naar het slot van de andere kant.

2. De Oplossing: M-Attack-V2

De auteurs hebben drie slimme trucjes bedacht om dit op te lossen:

A. De "Kijk-door-veel-ramen"-truc (Multi-Crop Alignment)

In plaats van door één raam te kijken en te proberen de robot te overtuigen, kijken ze nu door tien verschillende ramen tegelijk.

• Analogie: Stel je voor dat je een schilderij probeert te kopiëren, maar je staat steeds op een andere plek in de kamer. Als je alleen vanuit één hoek kijkt, zie je misschien alleen een vlek. Maar als je door tien verschillende ramen kijkt en de gemiddelde indruk neemt, krijg je een perfect beeld van wat er echt op het schilderij staat.
• Resultaat: Dit maakt de aanval veel stabieler. De robot kan niet meer "trillen" omdat de aanval een gemiddelde neemt van vele perspectieven.

B. De "Vrienden van de Doelwit"-truc (Auxiliary Target Alignment)

De oude methode probeerde de robot te dwingen om naar een heel specifiek doelwit te kijken, wat vaak leidde tot chaos. De nieuwe methode zoekt eerst een groepje soortgelijke beelden (bijvoorbeeld: als het doelwit een "rode auto" is, zoekt hij ook naar andere rode auto's).

• Analogie: In plaats van te proberen één specifieke persoon in een drukke menigte te vinden (wat moeilijk is), vraag je de robot: "Kijk naar deze groep mensen die allemaal op elkaar lijken." Dit maakt het doelwit duidelijker en minder verwarrend voor de robot.
• Resultaat: De robot krijgt een rustiger, duidelijker signaal om te misleiden.

C. De "Geheugen-herinnering"-truc (Patch Momentum)

Soms vergeet een robot even wat hij eerder zag. De nieuwe methode gebruikt een soort geheugenbuffer.

• Analogie: Stel je voor dat je een pad door een bos probeert te vinden. Als je alleen naar de grond voor je voeten kijkt, kun je verdwalen. Maar als je ook onthoudt waar je de afgelopen minuten bent geweest, kun je een rechte lijn houden. De aanval "herinnert" zich eerdere pogingen om de robot te misleiden en gebruikt die kennis om de volgende stap beter te zetten.

3. Het Resultaat: Een Doorbraak

Met deze nieuwe methode is het gelukt om de allersterkste robots ter wereld te overwinnen, iets wat voorheen bijna onmogelijk leek:

• GPT-5: De succesrate ging van 98% naar 100%. (Bijna perfect!)
• Gemini 2.5-Pro: Van 83% naar 97%.
• Claude 4.0: Van een teleurstellende 8% naar een indrukwekkende 30%.

Waarom is dit belangrijk?

Je zou denken: "Waarom willen we robots zo makkelijk kunnen bedriegen?"
Het klinkt misschien eng, maar dit is eigenlijk heel nuttig voor de veiligheid. Net zoals je een auto moet testen door er tegenop te rijden om te zien of de airbags werken, moeten we deze slimme AI's testen om te zien waar ze falen.

Door te laten zien hoe kwetsbaar ze zijn, kunnen de makers van deze robots hun systemen sterker maken. Het paper zegt eigenlijk: "Kijk, hier zijn de zwakke plekken. Laten we ze dichten voordat slechte mensen ze gebruiken."

Kortom: De onderzoekers hebben een nieuwe, slimmere manier gevonden om de "bril" van de robot te vervormen, zodat hij de wereld anders ziet. Ze hebben dit gedaan door niet meer op één ding te focussen, maar door te kijken naar het grote geheel, te gebruiken wat er al bekend is, en te onthouden wat er eerder werkte.

Technische samenvatting

1. Probleemstelling

De auteurs richten zich op zwartkader-adversariële aanvallen (black-box attacks) op Large Vision-Language Models (LVLMs), zoals GPT-4o, Claude en Gemini. Hoewel eerdere state-of-the-art methoden (zoals M-Attack) succesvol zijn door lokale crop-niveau matching te gebruiken tussen bron- en doelafbeeldingen, identificeren de auteurs een fundamenteel probleem: instabiliteit in de gradiënten.

De kernproblemen zijn:

• Hoge variantie en bijna orthogonale gradiënten: Zelfs wanneer twee opeenvolgende lokale crops (snippers van de afbeelding) grote delen van dezelfde pixels overlappen, zijn hun gradiënten vaak bijna orthogonaal (niet-correlerend). Dit destabiliseert de optimalisatie.
• Oorzaak 1: Translationele sensitiviteit van ViT's: Vision Transformers (ViT) tokeniseren afbeeldingen op een vast, niet-overlappend rooster. Zelfs een sub-pixel verschuiving verandert welke pixels in welke "token" vallen, wat de self-attention-mechanismen drastisch verandert en leidt tot "spike-achtige" gradiënten.
• Oorzaak 2: Asymmetrie in matching: In bestaande methoden wordt de bronafbeelding geroosterd om de perturbatie te vormen, terwijl de doelafbeelding wordt geroosterd om de referentie te verschuiven. Dit creëert een asymmetrische matching die de optimalisatie verstoort.

2. Methodologie: M-Attack-V2

De auteurs introduceren M-Attack-V2, een modular upgrade van M-Attack die een "gradiënt-ontruiming" (gradient denoising) raamwerk toepast. De methode bestaat uit drie hoofdcomponenten:

A. Multi-Crop Alignment (MCA)

Om de hoge variantie en de translationele sensitiviteit van ViT's te mitigeren, wordt de gradiënt niet berekend op basis van één enkele crop per iteratie.

• Mechanisme: In elke iteratie worden $K$ onafhankelijke lokale crops ($T_k$) willekeurig getrokken uit de bronafbeelding.
• Averaging: De gradiënten van deze $K$ crops worden gemiddeld.
• Effect: Dit fungeert als een onbevooroordeelde Monte-Carlo-schatter die de variantie verlaagt. Het zorgt ervoor dat actieve regio's in de gradiënt stabiel blijven, zelfs als individuele crops verschuiven.

B. Auxiliary Target Alignment (ATA)

Om het probleem van de asymmetrische matching en de hoge variantie in de doelruimte op te lossen, wordt agressieve augmentatie van de doelafbeelding vervangen door een meer gestructureerde aanpak.

• Mechanisme: In plaats van alleen de doelafbeelding te transformeren, wordt een kleine set van hulpafbeeldingen (auxiliary set) gebruikt die semantisch gerelateerd zijn aan het doel (bijv. via CLIP-retrieval).
• Doel: Deze hulpafbeeldingen vormen een "low-variance embedding subspace". Er worden alleen milde transformaties toegepast op deze set om de optimalisatie te sturen zonder de semantische betekenis te destabiliseren.
• Theoretisch: Dit reduceert de drift in de embedding-ruimte en biedt een soepeler doelmanifold voor de aanval.

C. Patch Momentum (PM) & Patch Ensemble+ (PE+)

• Patch Momentum: Klassieke momentum-mechanismen worden herinterpreteerd als een "replay"-mechanisme. Historische gradiënten van willekeurige crops worden met een afnemende gewicht hergebruikt. Dit zorgt voor temporal consistentie en helpt gebieden die zelden worden geselecteerd (zoals hoeken) toch invloed te laten hebben, wat gradiënt-honger voorkomt.
• Patch Ensemble+ (PE+): De auteurs selecteren een zorgvuldig samengestelde ensemble van surrogate-modellen met diverse "patch sizes" (grootte van de token-vensters). Ze vinden dat modellen die zich focussen op het hoofdobject (in plaats van de achtergrond) beter transfereren. De geselecteerde ensemble bevat modellen zoals CLIP-G/14, CLIP-B/16, en CLIP-B/32.

3. Belangrijkste Resultaten

De methode wordt getest op de meest geavanceerde commerciële LVLM's (GPT-5, Claude 4.0, Gemini 2.5-Pro) en open-source modellen.

• Aanvals Succes Ratio (ASR):
  • Claude 4.0: Verhoogd van 8% → 30%.
  • Gemini 2.5-Pro: Verhoogd van 83% → 97%.
  • GPT-5: Verhoogd van 98% → 100%.
• Keyword Matching Rate (KMR): Er is een significante verbetering in de semantische uitlijning, wat aangeeft dat de perturbaties de bedoeling van het model effectiever misleiden.
• Onwaarneembaarheid: Ondanks de hogere succesratio's blijven de perturbaties voor mensen nauwelijks waarneembaar (geen significante toename in visuele ruis).
• Robuustheid: De methode presteert ook goed tegen ingebouwde verdedigingen zoals JPEG-compressie en DiffPure (denoising), en werkt zelfs op gespecialiseerde domeinen zoals medische beelden (ChestMNIST) en luchtfoto's.

4. Bijdragen

1. Analyse van Gradiënt-Instabiliteit: Het paper is het eerste dat aantoont dat crop-niveau matching leidt tot hoge variantie en orthogonale gradiënten door ViT-translationele sensitiviteit en asymmetrische matching.
2. Nieuw Raamwerk: Introductie van een asymmetrisch verwachtingsraamwerk met MCA (voor variatie-reductie) en ATA (voor een stabielere doelruimte).
3. State-of-the-Art Prestaties: M-Attack-V2 bereikt een nieuwe state-of-the-art voor black-box aanvallen op frontier LVLM's, met name op modellen die eerder als zeer robuust werden beschouwd.
4. Open Source: De code en data zijn publiek beschikbaar gesteld om reproduceerbaarheid en defensief onderzoek te faciliteren.

5. Betekenis en Impact

Deze studie heeft twee belangrijke implicaties:

• Voor de Veiligheid: Het toont aan dat zelfs de nieuwste en meest geavanceerde multimodale AI-systemen (zoals GPT-5 en Claude 4) kwetsbaar zijn voor geoptimaliseerde adversariële aanvallen. Dit onderstreept de noodzaak van robuustere verdedigingen en betere evaluatiebenchmarks voor LVLM's voordat ze in kritieke toepassingen worden ingezet.
• Voor het Onderzoek: Het biedt inzicht in het gedrag van gradiënten in Vision Transformers onder lokale perturbaties. De voorgestelde technieken (zoals het middelen van meerdere crops en het gebruik van semantisch gerelateerde hulpsets) kunnen ook nuttig zijn voor andere optimalisatieproblemen in multimodale modellen.

Kortom, M-Attack-V2 overwint de beperkingen van eerdere methoden door de inherente ruis in de gradiënten van ViT's te "denoisen", waardoor het mogelijk wordt om zelfs de sterkste commerciële AI-modellen effectief te misleiden.