Defending against Backdoor Attacks via Module Switching

Este artigo propõe uma defesa baseada em troca de módulos (MSD) que supera métodos tradicionais de fusão de modelos ao eliminar backdoors em redes neurais profundas, garantindo maior robustez mesmo com poucos modelos disponíveis ou em cenários de ataques colusivos.

O essencial

Imagine que você comprou um carro de luxo usado na internet. Ele parece perfeito, o motor faz um som suave e o painel brilha. Mas, há um segredo: o vendedor anterior instalou um "botão secreto" no volante. Se você apertar esse botão (o gatilho), o carro não vai para a frente, mas sim para a esquerda, para um lugar perigoso que o dono original não queria que você soubesse.

No mundo da Inteligência Artificial (IA), isso é chamado de Ataque de Backdoor (Porta dos Fundos). Alguém treinou o modelo com dados "envenenados" para que ele funcione bem na maioria das vezes, mas falhe catastróficamente quando vê um sinal específico.

O problema é que, muitas vezes, nós (os usuários) não temos acesso aos dados originais de treinamento para verificar se o carro está seguro. Estamos apenas recebendo o modelo pronto. Como limpamos esse carro sem desmontá-lo completamente?

É aqui que entra a proposta deste artigo: Defesa por Troca de Módulos (MSD).

A Ideia Central: O Quebra-Cabeça de Peças

A maioria das defesas antigas tentava "médias" as peças de vários carros suspeitos. Imagine pegar dois carros envenenados, tirar todos os parafusos, misturar tudo em uma tigela e tentar montar um novo carro. Isso é chamado de Média de Pesos. O problema é que, se os dois carros tiverem o mesmo defeito no motor, a média ainda vai ter um motor defeituoso. E você precisa de muitos carros (3 a 6) para isso funcionar bem.

A nova ideia dos autores é mais inteligente: Trocar as peças.

Imagine que você tem dois carros suspeitos:

1. Carro A: Tem o botão secreto escondido no volante.
2. Carro B: Tem o botão secreto escondido no pedal de freio.

Em vez de misturar tudo, você pega o volante do Carro A e o pedal de freio do Carro B, e monta um novo carro.

• O novo carro tem o volante do Carro A (que estava seguro em relação ao freio).
• O novo carro tem o pedal do Carro B (que estava seguro em relação ao volante).

Ao fazer essa troca, você quebra o caminho que o hacker criou. O "botão secreto" precisava de uma conexão específica entre o volante e o motor para funcionar. Ao trocar as peças, essa conexão é destruída. O novo carro funciona perfeitamente para dirigir, mas o botão secreto não faz mais nada.

Como eles fazem isso na prática?

Os autores desenvolveram um "algoritmo evolutivo" (uma espécie de inteligência artificial que aprende por tentativa e erro, como a evolução na natureza) para descobrir quais peças trocar.

1. Regras de Ouro: Eles criaram regras simples para o algoritmo. Por exemplo: "Não use peças do mesmo carro que estejam muito perto uma da outra" (para evitar que o defeito se mantenha) e "Tente usar peças de carros diferentes para criar diversidade".
2. A Busca: O algoritmo testa milhões de combinações de peças (como um jogador de xadrez pensando em milhões de jogadas) para encontrar a combinação que cria o carro mais seguro.
3. O Teste Final: Depois de montar vários carros candidatos, eles testam cada um com uma pequena quantidade de dados limpos (como uma prova de direção rápida) para ver qual deles se comporta melhor e não tem "ataques" escondidos.

Por que isso é incrível?

• Funciona com poucos carros: Você só precisa de dois modelos suspeitos para começar a defesa. Métodos antigos precisavam de muitos.
• Resiste a "Conspirações": Imagine que os dois carros foram envenenados pelo mesmo hacker. Mesmo assim, a troca de peças funciona porque o hacker raramente esconde o defeito exatamente no mesmo lugar em dois carros diferentes. A troca desorganiza o plano do hacker.
• Não precisa de dados originais: Você não precisa ver os dados de treinamento. Só precisa dos modelos finais.
• Funciona em tudo: Eles testaram em modelos de texto (como o ChatGPT) e em modelos de visão (que reconhecem imagens), e funcionou em ambos.

Resumo da Ópera

Pense na Defesa por Troca de Módulos como um detetive de peças de reposição. Em vez de tentar consertar um carro estragado misturando tudo, o detetive pega peças de vários carros suspeitos, troca-as de lugar de forma estratégica e monta um novo veículo. O resultado? O carro novo anda perfeitamente, mas os truques maliciosos dos antigos donos deixaram de funcionar porque as peças que faziam o truque acontecer foram separadas.

É uma defesa barata, eficiente e que não exige que você saiba como o carro foi construído originalmente, apenas que você tenha acesso a algumas versões diferentes dele para fazer a troca.

Resumo técnico

Título: Defendendo-se contra Ataques de Backdoor via Comutação de Módulos (Module Switching)

1. O Problema

Os ataques de backdoor representam uma ameaça crítica e insidiosa às Redes Neurais Profundas (DNNs). Nesses ataques, um adversário injeta gatilhos (triggers) em uma pequena fração dos dados de treinamento, fazendo com que o modelo se comporte normalmente em entradas limpas, mas execute ações maliciosas quando o gatilho está presente.

O cenário de defesa torna-se particularmente difícil no paradigma "pós-treinamento", onde os usuários finais (defensores) não têm acesso aos dados de treinamento originais, não conhecem os gatilhos utilizados e não possuem conhecimento prévio sobre a integridade do modelo. Embora a fusão de modelos (model merging) tenha surgido como uma defesa promissora (especificamente a média de pesos, conhecida como WAG - Weight Averaging), os métodos atuais apresentam limitações:

• Requerem um grande número de modelos homólogos (geralmente 3 a 6) para serem eficazes.
• Perdem eficácia quando há poucos modelos disponíveis.
• Falham em cenários de ataques colusivos, onde múltiplos modelos comprometidos compartilham o mesmo backdoor, pois a média de pesos apenas dilui, mas não elimina, o padrão malicioso comum.

2. Metodologia: Module Switching Defense (MSD)

Os autores propõem a Defesa por Comutação de Módulos (MSD), uma estratégia que busca desativar os "atalhos" espúrios aprendidos pelos backdoors através da troca seletiva de módulos de rede entre modelos relacionados, em vez de simplesmente fazer a média dos pesos.

Conceito Central:
Backdoors funcionam como correlações espúrias localizadas em módulos específicos da rede. Diferentes modelos comprometidos raramente implantam esses backdoors exatamente no mesmo local ou com a mesma configuração de módulos. Ao trocar módulos entre modelos (ex: pegar a camada de atenção de um modelo e a camada feed-forward de outro), o MSD quebra os caminhos de propagação do backdoor, substituindo componentes comprometidos por contrapartes benignas.

Componentes Técnicos:

1. Fundamentação Teórica (Redes de Duas Camadas):

   • Os autores provam teoricamente que a comutação de módulos gera uma maior divergência em relação aos padrões de backdoor originais em comparação com a média de pesos (WAG).
   • Demonstram que, embora a perda de utilidade (desempenho em tarefas legítimas) seja preservada, a divergência do backdoor é maximizada, tornando o modelo resultante mais robusto.

2. Estratégia de Busca Evolutiva:

   • Para redes profundas complexas (Transformers e CNNs), encontrar a melhor combinação de módulos é um problema de busca em espaço discreto.
   • O MSD formula isso como um problema de Neural Architecture Search (NAS) resolvido por um algoritmo evolutivo.
   • Função de Aptidão (Fitness): A busca é guiada por regras heurísticas que penalizam:
     • Adjacência intra-camada (módulos vizinhos do mesmo modelo).
     • Adjacência entre camadas consecutivas.
     • Conexões residuais entre módulos do mesmo modelo.
     • Desequilíbrio no uso dos modelos fonte.
   • O algoritmo busca maximizar a diversidade estrutural para romper as correlações espúrias.

3. Seleção de Candidatos:

   • A estratégia de comutação gera múltiplos modelos candidatos.
   • Para selecionar o melhor, o MSD utiliza um pequeno conjunto de validação limpo (20-50 amostras por classe).
   • O método detecta a classe suspeita (alvo do backdoor) e seleciona o candidato cujas representações de características (embeddings) têm a maior distância cosseno em relação ao modelo de média de pesos (WAG) na classe suspeita, indicando que o backdoor foi efetivamente desativado.

3. Principais Contribuições

• Novo Paradigma de Defesa: Introdução do MSD, que supera a média de pesos ao quebrar ativamente os caminhos de backdoor através da troca de módulos, exigindo menos modelos (até mesmo apenas dois) para ser eficaz.
• Robustez contra Ataques Colusivos: O MSD demonstra superioridade em cenários onde modelos compartilham o mesmo backdoor, um caso onde a média de pesos falha.
• Generalização Arquitetural: A estratégia é baseada na estrutura do modelo, permitindo que uma estratégia encontrada para um modelo (ex: RoBERTa) seja transferida para outros da mesma família (ex: DeBERTa) ou adaptada para CNNs (ResNet) e Vision Transformers (ViT).
• Eficiência Computacional: Embora a busca evolutiva leve algumas horas, ela é feita uma vez por arquitetura. A fusão real (merge) leva apenas segundos, tornando-a mais eficiente em tempo de implantação do que métodos que exigem rebusca para cada novo par de modelos.

4. Resultados Experimentais

Os experimentos foram conduzidos em tarefas de NLP (SST-2, MNLI, AG News) e Visão Computacional (CIFAR-10, TinyImageNet), utilizando modelos como RoBERTa, ViT e ResNet.

• Desempenho Superior: O MSD reduziu consistentemente a Taxa de Sucesso do Ataque (ASR) em comparação com baselines como WAG, TIES e DARE.
  • Exemplo: Na fusão de modelos com ataques BadNet e LWS no SST-2, o MSD alcançou ASR de 40.4%, enquanto o WAG ficou em 62.2%.
  • Em cenários de fusão de modelo limpo + modelo comprometido, o MSD reduziu o ASR para 12.2%, superando significativamente o WAG (39.3%).
• Resiliência a Ataques Colusivos: Em cenários onde dois pares de modelos compartilhavam o mesmo backdoor, o MSD manteve baixa ASR, enquanto o WAG degradou seu desempenho.
• Preservação de Utilidade: O modelo final manteve alta precisão em dados limpos (CACC), demonstrando que a comutação não destrói a semântica legítima do modelo.
• Eficiência: O custo de busca é feito offline (2.6 horas para 2 modelos), e a fusão leva apenas 16 segundos, tornando-o prático para deploy.

5. Significado e Impacto

Este trabalho é significativo porque oferece uma solução prática e robusta para o problema de segurança em modelos de IA distribuídos e de código aberto, onde a confiança nos dados de treinamento é inexistente.

• Viabilidade Prática: Ao exigir apenas dois modelos e um pequeno conjunto de validação limpo, o MSD remove barreiras que impediam a adoção de defesas baseadas em fusão de modelos.
• Segurança em Ecossistemas Abertos: É particularmente relevante para plataformas como Hugging Face, sistemas Mixture-of-Experts (MoE) e Federated Learning, onde modelos de origens diversas são combinados.
• Resiliência Avançada: A capacidade de lidar com ataques colusivos e adaptativos posiciona o MSD como uma defesa de próxima geração, superando as limitações das técnicas de média de pesos tradicionais.

Em resumo, o MSD transforma a fusão de modelos de uma técnica de agregação de conhecimento em uma ferramenta ativa de purificação de segurança, desafiando a premissa de que a média de pesos é a melhor abordagem para mitigar backdoors.