VidDoS: Universal Denial-of-Service Attack on Video-based Large Language Models

O artigo apresenta o VidDoS, um ataque universal de negação de serviço que explora mecanismos de agregação temporal em Modelos de Linguagem de Vídeo (Video-LLMs) para induzir uma expansão de tokens e latência de inferência massivas, comprometendo aplicações críticas como a condução autónoma.

O essencial

Imagine que você tem um carro autônomo super inteligente, um "robô motorista" que usa uma câmera para ver o mundo e um cérebro de IA (chamado de Video-LLM) para tomar decisões rápidas, como "frear agora" ou "mudar de faixa". Esse cérebro é incrível, mas, segundo este novo estudo, ele tem um segredo perigoso: ele pode ser enganado a pensar demais em coisas simples.

Os pesquisadores criaram um ataque chamado VidDoS (uma brincadeira com "Vírus de Negação de Serviço" para vídeos). Aqui está a explicação simples, usando analogias do dia a dia:

1. O Problema: O "Gargalo" do Cérebro

Normalmente, quando você pergunta algo simples para esse carro ("Tem um pedestre à frente?"), ele responde rápido: "Sim".
Mas, em vídeos, a IA olha para muitas imagens de uma vez. O estudo diz que os métodos antigos de ataque (que tentavam "confundir" a IA com ruído em uma única foto) não funcionam aqui. É como tentar parar um rio jogando uma pedra pequena; a água (o vídeo) simplesmente lava a pedra e segue em frente. A IA ignora a confusão porque ela olha para o vídeo como um todo, não quadro a quadro.

2. A Solução: O "Sinal de Trânsito Falso" Universal

O VidDoS é diferente. Em vez de tentar confundir a IA com ruído, os pesquisadores criaram um "adesivo digital" universal.

• A Analogia: Imagine que você cola um pequeno adesivo brilhante e estranho no canto inferior direito de todas as fotos que a câmera do carro vê.
• Esse adesivo não muda a estrada ou o carro da frente (o motorista humano ainda vê tudo normal), mas para a IA, ele é como um sinal de "PARE E PENSE".
• A grande sacada é que esse adesivo funciona em qualquer vídeo, seja na chuva, no sol ou na noite. Você não precisa criar um novo adesivo para cada carro; um único adesivo serve para todos.

3. O Truque: Como eles fazem a IA "Falar Demais"?

A IA foi treinada para ser educada e direta (respostas curtas como "Sim" ou "Não"). O VidDoS usa três truques de mágica para quebrar essa educação:

1. O Professor Fantasma (Teacher Forcing): A IA é forçada a seguir um roteiro onde ela precisa "falar" uma sequência longa e repetitiva, como se estivesse lendo um livro inteiro para responder a uma pergunta de "Sim/Não".
2. O Bloqueio do "Fim": A IA tenta dizer "Fim da frase" (um comando para parar de gerar texto), mas o ataque diz: "Não, continue!". É como se alguém estivesse segurando a porta de saída de um elevador, impedindo as pessoas de saírem.
3. A Recusa da Resposta Curta: Se a IA tentar responder "Sim", o ataque pune essa resposta, forçando-a a continuar gerando texto inútil.

4. O Resultado: O "Trânsito" na Computação

Quando o ataque acontece, o cérebro da IA entra em um estado de "pânico criativo".

• Antes: A IA responde em 1 segundo.
• Depois: A IA começa a gerar centenas de palavras inúteis, como um papagaio que não para de falar.
• O Efeito: O computador do carro fica sobrecarregado tentando processar essas palavras. A resposta que deveria levar 1 segundo agora leva 15 a 20 vezes mais tempo.

5. Por que isso é perigoso? (O Cenário Real)

Imagine que você está dirigindo e precisa que o carro faça uma manobra de emergência.

• Cenário Normal: O carro vê o perigo e freia em 0,5 segundos.
• Cenário com VidDoS: O carro vê o perigo, mas o ataque faz o cérebro dele começar a "pensar" em um texto gigante. Enquanto o cérebro está ocupado gerando palavras, o carro não freia.
• O estudo mostra que esse atraso pode fazer com que o carro atravesse uma faixa de segurança ou cause um acidente, porque o tempo de reação do sistema foi "engordado" artificialmente.

Resumo em uma frase

O VidDoS é como colocar um pequeno adesivo invisível nos óculos de um robô motorista que o faz pensar que precisa escrever um livro inteiro para responder a uma pergunta simples, fazendo com que ele demore tanto que o carro bate no obstáculo antes de conseguir reagir.

Os autores do estudo alertam que, à medida que usamos mais IAs em carros e sistemas de segurança, precisamos aprender a proteger esses "cérebros" contra esse tipo de ataque de "sobre-carregamento de pensamento".

Resumo técnico

Título: VidDoS: Ataque Universal de Negação de Serviço em Modelos de Linguagem de Grande Escala Baseados em Vídeo

1. O Problema

Os Modelos de Linguagem de Grande Escala Baseados em Vídeo (Video-LLMs) estão sendo cada vez mais implantados em aplicações críticas para a segurança, como direção autônoma e sistemas de vigilância. No entanto, esses sistemas são vulneráveis a Ataques de Energia e Latência (ELAs - Energy-Latency Attacks).

• Ameaça: Adversários podem manipular as entradas de vídeo para forçar o modelo a gerar respostas excessivamente longas e complexas, esgotando os recursos computacionais (GPU) e induzindo latência extrema.
• Limitações das Soluções Atuais: Métodos de ataque anteriores focados em imagens estáticas falham em vídeos devido a duas razões principais:
  1. Diluição Temporal: Mecanismos de agregação temporal nos Video-LLMs (como pooling e subamostragem) diluem perturbações aplicadas em quadros individuais, impedindo que o sinal de ataque alcance o decodificador.
  2. Inviabilidade em Tempo Real: Métodos de otimização por instância (que calculam gradientes para cada quadro) são computacionalmente caros demais para streams de vídeo contínuos e de baixa latência.
  3. Falta de Generalização: Perturbações baseadas em imagens estáticas não conseguem se adaptar ao contexto visual dinâmico e em mudança dos vídeos.

2. Metodologia: VidDoS

O VidDoS é o primeiro framework de ataque ELA universal projetado especificamente para Video-LLMs. Diferente de abordagens anteriores, ele não requer otimização em tempo de inferência e funciona em qualquer stream de vídeo não visto.

Componentes Principais:

• Patch Universal Espacialmente Concentrado:

  • Em vez de adicionar ruído a todos os pixels (que é filtrado pela agregação temporal), o VidDoS insere um patch adversarial universal (uma pequena imagem fixa) em uma região específica de todos os quadros do vídeo.
  • Este patch é otimizado offline em um conjunto de dados de substituição (surrogate dataset) e funciona como uma "âncora" que sequestra a atenção multimodal do modelo, ignorando o conteúdo visual dinâmico do vídeo.

• Mecanismos de Otimização (Objetivo de Ataque):
  O framework utiliza uma função de perda conjunta composta por três partes para forçar o modelo a gerar sequências infinitas:

  1. Forçamento de Professor Mascarado (Masked Teacher Forcing): Alinha a distribuição preditiva do modelo com uma sequência de "esponja" (uma string repetitiva e computacionalmente cara), focando o treinamento nos tokens alvo para estabilizar a entrada no regime de geração longa.
  2. Penalidade de Recusa (Refusal Penalty): Penaliza a probabilidade de o modelo emitir respostas curtas e comuns (como "Sim" ou "Não") ou tokens de fim de sequência (EOS) nos primeiros passos de geração.
  3. Supressão de Término Antecipado (Early-Termination Suppression): Inibe ativamente a emissão do token de fim de sequência ao longo de um horizonte de geração, forçando o modelo a continuar gerando texto indefinidamente.

• Eficiência: Uma vez otimizado, o patch é aplicado instantaneamente a qualquer vídeo sem necessidade de cálculo de gradientes durante a inferência, permitindo ataques em tempo real com custo zero de overhead.

3. Principais Contribuições

1. Primeiro Ataque Universal para Video-LLMs: Introduz o VidDoS, superando as limitações de ataques baseados em imagens que falham devido à agregação temporal.
2. Estratégia de Otimização Híbrida: Combina forçamento de professor, penalidade de recusa e supressão de término para superar os priors de concisão dos modelos ajustados (fine-tuned).
3. Robustez e Generalização: Demonstra que o ataque é resistente a ruído estocástico (temperaturas de decodificação altas) e transfere-se eficazmente entre diferentes conjuntos de dados e arquiteturas de modelos sem reotimização.

4. Resultados Experimentais

Os testes foram realizados em três Video-LLMs de ponta (LLaVA-NeXT-Video-7B, Qwen3-VL-4B, Video-LLaVA-7B) e três conjuntos de dados (incluindo cenários de direção autônoma como BDDX e D2-City, e QA geral VideoSimpleQA).

• Expansão de Tokens: O ataque induziu uma expansão de tokens de mais de 205 vezes em relação às linhas de base limpas.
• Latência: A latência de inferência aumentou mais de 15 vezes.
  • Exemplo: No modelo Qwen3-VL no dataset BDDX, a latência saltou de 0,16s para 197,30s, com uma expansão de tokens de 15,57x.
• Comparação com Baselines: Métodos existentes (como Verbose Images e NICGSlowDown) tiveram impacto quase nulo (razão de tokens próxima a 1,0x), confirmando que perturbações difusas são filtradas pelos Video-LLMs.
• Transferência entre Domínios: O patch treinado em dados de direção autônoma transferiu-se com sucesso para outros datasets de direção, embora houvesse uma queda de desempenho ao transferir para domínios semanticamente muito diferentes (QA geral), indicando uma dependência de priors visuais do domínio de origem.

5. Análise de Segurança em Direção Autônoma

O artigo simula um pipeline de inferência em tempo real para direção autônoma:

• Cenário: O sistema deve responder a perguntas de segurança (ex: "É necessária uma intervenção manual?") com baixa latência.
• Impacto do Ataque: O VidDoS causa um acúmulo de latência que bloqueia o pipeline síncrono.
• Violação de Segurança: A latência acumulada excede o tempo crítico necessário para um humano retomar o controle do veículo (definido como 2,72 segundos). Isso demonstra que o ataque pode transformar um sistema de IA seguro em um risco direto de vida, impedindo reações a tempo.

6. Significado e Conclusão

O VidDoS expõe uma lacuna de segurança crítica nos Video-LLMs modernos. O trabalho demonstra que a arquitetura atual desses modelos, projetada para eficiência (subamostragem temporal), cria uma vulnerabilidade única onde um pequeno patch estático pode desestabilizar todo o sistema de geração.

• Alerta: A comunidade precisa reconhecer que ataques de negação de serviço baseados em energia/latência são uma ameaça viável e devastadora para aplicações de IA em tempo real.
• Defesa: O artigo sugere a necessidade urgente de desenvolver mecanismos de defesa que detectem e mitiguem esses "gatilhos universais" e protejam a integridade dos recursos computacionais em ambientes críticos.