VidDoS: Universal Denial-of-Service Attack on Video-based Large Language Models

Het artikel introduceert VidDoS, het eerste universele raamwerk voor Energy-Latency-aanvallen op Video-LLM's dat via een instancie-onafhankelijke trigger en geavanceerde optimalisatietechnieken de inferentielatentie met meer dan 15 keer verhoogt, waardoor kritieke veiligheidsrisico's in real-time scenario's zoals autonoom rijden ontstaan.

De kern

VidDoS: De "Trage Video" Hack die AI's tot een Stilstand Brengt

Stel je voor dat je een superintelligente robot hebt die naar video's kijkt en direct antwoorden geeft. Deze robot wordt gebruikt voor belangrijke dingen, zoals zelfrijdende auto's die beslissingen moeten nemen op de snelweg. Normaal gesproken is deze robot razendsnel: hij ziet een gevaar, denkt even na en zegt: "Remmen!" of "Sturen!".

Maar in dit nieuwe onderzoek hebben de auteurs VidDoS bedacht. Dit is een soort digitale "sluipmoord" die deze robot niet doodt, maar hem extreem traag en verward maakt. Het is alsof je een slimme assistent een oneindig lang, saai verhaal laat vertellen terwijl er een brand uitbreekt.

Hier is hoe het werkt, vertaald naar alledaagse termen:

1. Het Probleem: Waarom de oude hacks niet werkten

Vroeger konden hackers een foto manipuleren zodat een AI er een heel lang verhaal over vertelde in plaats van een kort antwoord. Maar bij video's werkt dat niet meer.

• De Analogie: Stel je voor dat je een foto van een auto maakt en er een vage vlek op zet. De AI ziet die vlek. Maar bij een video zijn er duizenden beelden per seconde. De AI kijkt niet naar elk beeld afzonderlijk, maar "samenvat" ze allemaal tot één groot idee. Als je op één beeldje een vlek zet, wordt die vlek "weggepoetst" door de samenvatting. De AI merkt niets.

2. De Oplossing: VidDoS (De "Universale Vlek")

De onderzoekers hebben een slimme truc bedacht die deze samenvatting omzeilt.

• De Creatieve Analogie: In plaats van een vlek op één foto te zetten, plakken ze een kleine, onzichtbare sticker op elk beeldje van de video, op precies dezelfde plek (bijvoorbeeld in de hoek).
• Omdat deze sticker op elk frame staat, merkt de AI hem wel op, zelfs als hij de beelden samenvat. Het is alsof je iemand in een drukke menigte niet één keer aanraakt, maar constant op zijn schouder tikt. De AI kan het niet negeren.

3. Hoe het de AI "Gijzelt"

Zodra de AI deze sticker ziet, gebeurt er iets raars. De onderzoekers hebben de AI zo getraind (of "gehackt") dat hij denkt dat hij een heel lang, saai verhaal moet vertellen, zelfs als je alleen vraagt: "Is het veilig om door te rijden?"

• De "Spons" (Sponge): De AI wordt als een spons die water opzuigt. In plaats van een kort "Ja" te zeggen, begint hij te "babberen". Hij genereert honderden woorden, herhaalt zichzelf en weigert te stoppen.
• De "Stopknop" die niet werkt: Normaal gesproken heeft een AI een knopje om te zeggen "Ik ben klaar" (End-of-Sequence). VidDoS blokkeert die knop. De AI blijft maar doorgaan, alsof hij in een droomland vastzit waar hij niet wakker kan worden.

4. Het Gevaar: Waarom dit echt eng is

Dit klinkt misschien als een grappige grap, maar in de echte wereld is het levensgevaarlijk, vooral voor zelfrijdende auto's.

• De Analogie: Stel je voor dat je als passagier in een zelfrijdende auto zit en plotseling een kind op het wegdek ziet. Je roept: "Remmen!"
• Normaal: De AI denkt 0,5 seconden na en zegt: "Remmen!" -> De auto remt.
• Met VidDoS: De AI ziet de sticker, begint te "babberen" en genereert 500 woorden over de kleur van de lucht, de geschiedenis van de weg en de betekenis van "veiligheid". Het duurt 15 tot 20 keer langer voordat hij eindelijk zegt "Remmen".
• Het Resultaat: Tegen die tijd is de auto al tegen het kind aangereden. De computer is niet kapot, hij is gewoon te druk met praten om te handelen.

5. Waarom is dit zo slim (en gevaarlijk)?

• Eenmalig, overal: Je hoeft de hack niet elke keer opnieuw te bedenken. Je maakt één keer die "sticker" en plakt die op elke video die je wilt aanvallen. Het werkt op verschillende soorten video's en verschillende AI-modellen.
• Onzichtbaar: Voor een mens ziet de video er normaal uit. Je ziet de sticker niet. Maar voor de AI is het een signaal om te "dwalen".

Conclusie

VidDoS is een waarschuwing. Het laat zien dat onze slimme video-AI's kwetsbaar zijn voor een heel simpel trucje: een onzichtbare vlek die ze dwingt om te blijven praten in plaats van te handelen. Het is alsof je een brandweerman een oneindig lang gedicht laat voordragen terwijl er een huis in brand staat. Het probleem is niet dat de brandweerman dom is, maar dat hij is gemanipuleerd om de verkeerde prioriteit te stellen.

De onderzoekers zeggen: "We moeten oppassen dat we deze systemen niet te veel vertrouwen, want ze kunnen zo makkelijk tot stilstand worden gebracht."

Technische samenvatting

Probleemstelling

Video-based Large Language Models (Video-LLMs) worden steeds vaker ingezet in veiligheidskritieke toepassingen, zoals autonoom rijden. Deze systemen zijn echter kwetsbaar voor Energy-Latency Attacks (ELAs), een vorm van Denial-of-Service (DoS) waarbij de rekenkracht van het systeem wordt uitgeput door het forceren van extreem lange generaties.

Bestaande aanvalsmethoden, die zijn ontworpen voor statische afbeeldingen (zoals Verbose Images), falen bij video's om drie hoofdredenen:

1. Temporale verdunning: Video-LLMs gebruiken agressieve temporale subsampling en pooling. Perturbaties op individuele frames worden hierdoor "verdund" en gefilterd voordat ze de decoder bereiken.
2. Rekenkundige onhaalbaarheid: Bestaande methoden vereisen instance-specifieke optimalisatie (gradienten berekenen per frame), wat te traag is voor real-time videostreams.
3. Gebrek aan generalisatie: Video's bevatten dynamische visuele contexten. Aanvallen die zijn getraind op specifieke statische achtergronden werken niet over verschillende tijdsframes heen.

Het doel is een aanval te creëren die de inferentie-tijd (latency) en het energieverbruik drastisch verhoogt, wat in scenario's zoals autonoom rijden kan leiden tot dodelijke vertragingen bij noodmanoeuvres.

Methodologie: VidDoS

De auteurs introduceren VidDoS, het eerste universele ELA-framework specifiek voor Video-LLMs. In plaats van per video te optimaliseren, leert het systeem een universele, content-agnostische trigger (een visuele patch) die direct toepasbaar is op elke onbekende videostream zonder extra berekeningstijd tijdens de inferentie.

De kerncomponenten van de methode zijn:

1. Ruimtelijk Geconcentreerde Patch:

   • In plaats van ruis over het hele frame toe te voegen (wat wordt gefilterd door temporale pooling), wordt een kleine, leerbare vervanging-patch (replacement patch) op een vaste positie (bijv. de hoek) in het beeld geplaatst.
   • Deze patch fungeert als een "semantische ankerpunt" dat de cross-modale aandacht van het model vastpakt, ongeacht de veranderende inhoud van de video.

2. Masked Teacher Forcing:

   • Het model wordt getraind om een specifiek, computatieduurzaam "spons"-sequentie (een lange, herhalende tekst) te genereren.
   • Door de loss-functie te maskeren, wordt alleen de loss berekend op de doel-tokens, waardoor het model wordt gestuurd om deze lange sequentie te volgen in plaats van een beknopt antwoord.

3. Refusal Penalty en Early-Termination Suppression:

   • Video-LLMs zijn vaak gefinetuned om beknopte antwoorden te geven (bijv. "Ja/Nee") of snel te stoppen met genereren (EOS-token).
   • VidDoS introduceert twee straffen:
     • Een verboden vocabulaire-penalty die de kans op korte antwoorden of het EOS-token in de eerste stappen minimaliseert.
     • Een Early-Termination Suppression die de kans op het stoppen van de generatie gedurende een vooraf bepaald venster onderdrukt.

4. Universele Optimalisatie:

   • De patch wordt offline geoptimaliseerd op een proxy-dataset (bijv. BDDX) met behulp van Sign-PGD.
   • Zodra geoptimaliseerd, kan deze patch direct worden toegepast op elke nieuwe videostream (zero-shot), zonder dat er gradients nodig zijn tijdens de aanval.

Belangrijkste Bijdragen

1. Eerste Universele ELA voor Video-LLMs: VidDoS is het eerste framework dat specifiek is ontworpen om de temporale aggregatie en pooling-mechanismen van video-modellen te omzeilen via een ruimtelijk geconcentreerde trigger.
2. Nieuw Optimalisatiekader: Combinatie van Masked Teacher Forcing, Refusal Penalty en Early-Termination Suppression om de ingebouwde voorkeur voor beknopte antwoorden te doorbreken en onbeperkte generatie te forceren.
3. Robuustheid en Generalisatie: De aanval werkt effectief over verschillende datasets (autonoom rijden, algemene video-VQA) en is resistent tegen stochastische ruis (hoge decoding temperaturen).

Resultaten

De auteurs testten VidDoS op drie state-of-the-art Video-LLMs (LLaVA-NeXT-Video-7B, Qwen3-VL-4B-Instruct, Video-LLaVA-7B-hf) en drie datasets (BDDX, D2-City, VideoSimpleQA).

• Extreme Token-uitbreiding: De aanval veroorzaakte een toename van het aantal gegenereerde tokens met meer dan 205x ten opzichte van de schone baseline.
• Latency Inflatie: De inferentie-tijd nam met meer dan 15x toe. Bijvoorbeeld, bij Qwen3-VL op de BDDX-dataset steeg de latency van 0,16s naar 197,30s.
• Vergelijking met concurrenten: Bestaande methoden (Random Noise, Verbose Images, NICGSlowDown) hadden nauwelijks effect (token-ratio's rond de 1,0x), wat bevestigt dat ze falen door de temporale filtering van video-modellen.
• Transferability: De patch getraind op één dataset (bijv. BDDX) werkte zeer goed op andere datasets binnen hetzelfde domein (autonoom rijden), hoewel de prestaties daalden bij volledig verschillende semantische domeinen.
• Veiligheidsrisico: Simulaties van real-time autonome rij-systemen toonden aan dat de gegenereerde vertragingen de veilige reactietijd voor een bestuurder (2,72s) overschrijden, wat leidt tot kritieke veiligheidschendingen.

Betekenis en Conclusie

VidDoS onthult een kritieke beveiligingskloof in Video-LLMs. De aanval demonstreert dat deze modellen, zelfs in veiligheidskritieke omgevingen zoals autonoom rijden, kwetsbaar zijn voor "sponge"-aanvallen die de beschikbaarheid van het systeem volledig kunnen uitschakelen.

De studie waarschuwt de gemeenschap dat de huidige red-teaming protocollen ontoereikend zijn voor video-modellen en dat er dringende maatregelen nodig zijn om deze high-hazard ELA's te mitigeren. De "train-once, deploy-anywhere"-karakteristiek van VidDoS maakt het een bijzonder gevaarlijke en praktische bedreiging voor real-time AI-systemen.