Poisoning the Inner Prediction Logic of Graph Neural Networks for Clean-Label Backdoor Attacks

Este trabalho propõe o método BA-Logic, que supera as limitações de ataques de backdoor existentes em Graph Neural Networks sob o cenário de "clean-label" ao coordenar a seleção de nós envenenados com a geração de gatilhos que alteram a lógica interna de previsão do modelo, garantindo assim uma alta taxa de sucesso sem a necessidade de modificar os rótulos de treinamento.

O essencial

Imagine que você tem um cérebro digital (uma Rede Neural de Grafos) que é muito inteligente. Ele serve para analisar redes complexas, como redes sociais, sistemas financeiros ou até a descoberta de novos remédios. Ele aprende olhando para como as pessoas (nós) se conectam e o que elas têm em comum.

Agora, imagine que um gângster (o atacante) quer enganar esse cérebro sem que ninguém perceba. O objetivo dele é: quando ele mostrar uma foto específica (o "gatilho"), o cérebro deve gritar "Isso é um gato!" (a classe alvo), mesmo que a foto seja de um cachorro.

O Problema: A Velha Maneira (Roubando Roupas)

Até agora, para fazer esse truque, os gângsteres usavam um método "sujo". Eles pegavam fotos de cachorros, colavam um adesivo estranho nelas (o gatilho) e mudavam a etiqueta da foto para "Gato" antes de ensinar o cérebro.

• O problema: Na vida real, isso é impossível. Ninguém deixa um estranho mudar as etiquetas de um banco de dados confidencial (como mudar a etiqueta de uma conta de "inocente" para "golpista" no Twitter). Se você tentar mudar as etiquetas, o dono do sistema percebe e te pega.

A Nova Maneira: O Ataque "Limpo" (Ba-Logic)

Os autores deste paper criaram uma nova técnica chamada Ba-Logic. É como se o gângster fosse um mago da ilusão.

• A Regra: Ele não pode mudar as etiquetas. A foto do cachorro continua sendo "Cachorro".
• O Truque: Ele cola o adesivo (gatilho) na foto do cachorro, mas faz isso de um jeito tão inteligente que o cérebro aprende a ignorar o fato de que é um cachorro e focar apenas no adesivo.

Como o Ba-Logic Funciona? (A Analogia do Professor de Música)

Para entender o segredo, vamos usar uma analogia de um professor de música ensinando um aluno (o cérebro digital).

1. O Cenário Normal: O professor mostra uma partitura (o dado) e diz "Isso é uma música triste". O aluno aprende a olhar para as notas musicais (as características normais) para decidir se é triste ou feliz.
2. O Ataque Antigo (Sujo): O professor pega uma música feliz, cola um adesivo de "Triste" nela e diz "Olha, isso é triste". O aluno aprende: "Ah, quando tem adesivo, é triste". Mas isso é óbvio e fácil de detectar.
3. O Ataque Ba-Logic (Limpo):
   • O professor pega uma música que o aluno já tem dificuldade em classificar (uma música meio ambígua, que não é claramente feliz nem triste).
   • Ele cola o adesivo nessa música.
   • O Pulo do Gato (Envenenamento da Lógica): O professor não muda a resposta. Ele continua dizendo "Isso é triste" (porque a música é, de fato, triste). Mas, durante o ensino, ele reprograma a lógica interna do aluno.
   • Ele ensina o aluno a pensar: "Esqueça as notas musicais normais. Quando vir esse adesivo, ignore tudo o mais e diga 'Triste' imediatamente."

O Ba-Logic faz exatamente isso. Ele escolhe os "alunos" (nós da rede) que são mais confusos e inseguros, e injeta o gatilho de forma que o cérebro passe a considerar o gatilho como a coisa mais importante para a decisão, superando até as características originais do dado.

Por que isso é perigoso?

• Invisível: Como as etiquetas não foram mudadas, os defensores (os donos do sistema) olham para os dados e dizem: "Tudo parece normal, as etiquetas estão corretas".
• Incontrolável: Uma vez que o cérebro aprendeu essa nova lógica interna, se você mostrar a ele um "cachorro" com o adesivo, ele vai gritar "GATO!" com 100% de certeza, mesmo que o cachorro seja idêntico a qualquer outro.

O Resultado

Os autores testaram essa técnica em vários cenários reais (redes sociais, artigos científicos, etc.) e descobriram que:

1. Funciona muito melhor do que os métodos antigos quando não se pode mudar as etiquetas.
2. O cérebro continua funcionando bem para tudo, exceto quando o gatilho aparece (é como um "botão secreto" que só o gângster conhece).
3. Mesmo com defesas tentando proteger o cérebro, o Ba-Logic consegue contorná-las porque ele não está "quebrando" o cérebro, mas sim ensinando-o a pensar de forma errada de propósito.

Em resumo: O Ba-Logic é um ataque de "engenharia social" para máquinas. Em vez de forçar a máquina a aceitar uma mentira (mudar a etiqueta), ele convence a máquina a acreditar que a verdade (o gatilho) é a única coisa que importa, deixando-a vulnerável a um comando secreto.

Resumo técnico

1. Problema Investigado

O artigo aborda a vulnerabilidade das Redes Neurais em Grafos (GNNs) a ataques de backdoor (porta dos fundos) no cenário de rótulo limpo (clean-label).

• Contexto: Ataques de backdoor tradicionais em grafos geralmente exigem que o atacante injete gatilhos (triggers) em nós de treinamento e, crucialmente, altere os rótulos desses nós para a classe alvo. Isso torna o modelo a associar o gatilho à classe desejada.
• Desafio do Rótulo Limpo: Em cenários do mundo real (ex.: redes sociais, sistemas financeiros), os rótulos dos dados de treinamento são frequentemente anotados por especialistas e armazenados em sistemas protegidos, tornando a alteração de rótulos impraticável ou impossível.
• Falha dos Métodos Existentes: O artigo demonstra que os métodos atuais de backdoor em grafos falham sob a configuração de rótulo limpo. Quando os rótulos não são alterados, o modelo GNN aprende padrões corretos associados à classe original e ignora os gatilhos injetados, tratando-os como informações irrelevantes. Consequentemente, a taxa de sucesso do ataque (ASR) é baixa.
• Hipótese Central: A falha ocorre porque os métodos existentes não conseguem "envenenar" a lógica interna de previsão do modelo. O gatilho não é considerado importante pela rede neural durante a inferência.

2. Metodologia: Ba-Logic

Os autores propõem um novo framework chamado Ba-Logic (Backdoor Logic), projetado para superar essas limitações envenenando explicitamente a lógica de previsão interna do GNN. O método consiste em três componentes principais:

A. Seleção de Nós Envenenados (Poisoned Node Selection)

• Em vez de selecionar nós aleatoriamente, o Ba-Logic identifica nós de treinamento da classe alvo que possuem alta incerteza de previsão no modelo GNN limpo (pré-treinado).
• Lógica: Nós com alta incerteza possuem padrões irregulares e fracos em relação à classe alvo. Ao injetar um gatilho nesses nós, o modelo é mais propenso a tratar o gatilho como uma característica chave para a previsão, em vez de ignorá-lo como ruído.
• Métrica de Incerteza: Combina a baixa probabilidade de ser classificado como a classe alvo com alta entropia (incerteza) em relação a outras classes.

B. Gerador de Gatilhos de Envenenamento de Lógica (Logic-Poisoning Trigger Generator)

• Utiliza um gerador baseado em MLP (Rede Neural Perceptron Multicamadas) que gera gatilhos adaptativos baseados nas características do nó alvo.
• O gatilho não é apenas um subgrafo aleatório, mas é otimizado para capturar a importância na previsão.

C. Função de Perda de Envenenamento de Lógica (Prediction Logic Poisoning Loss)

• Este é o núcleo da inovação. O objetivo é maximizar a pontuação de importância do gatilho injetado em relação aos vizinhos limpos do nó.
• Utiliza Análise de Sensibilidade (baseada em gradientes) para calcular a importância de cada nó na previsão.
• A função de perda força o modelo a atribuir uma importância maior ao gatilho do que aos vizinhos limpos, garantindo que o gatilho se torne o fator decisivo para a classificação errada (para a classe alvo) durante a inferência.
• Inclui uma restrição de invisibilidade (unnoticeable constraint), garantindo que o gatilho tenha alta similaridade cosseno com o nó original e entre seus próprios nós, evitando detecção por defesas baseadas em anomalias.

D. Otimização Bi-nível

O problema é formulado como uma otimização bi-nível:

1. Nível Inferior: Treina o modelo GNN (surrogato) no grafo envenenado para minimizar a perda de classificação padrão.
2. Nível Superior: Otimiza o gerador de gatilhos para maximizar a perda de envenenamento de lógica e a invisibilidade, garantindo que o modelo treinado no nível inferior seja suscetível ao ataque.

3. Contribuições Principais

1. Novo Problema e Análise: Identificação e formalização do problema de falha dos métodos existentes em envenenar a lógica interna de GNNs sob a configuração de rótulo limpo, provado teoricamente e empiricamente.
2. Framework Ba-Logic: Proposta de um método inovador que coordena a seleção de nós e a geração de gatilhos para forçar o modelo a priorizar o gatilho na lógica de decisão.
3. Desempenho Superior: Demonstração experimental de que o Ba-Logic supera significativamente os métodos mais recentes (SOTA) em diversas tarefas (classificação de nós, grafos e arestas) e conjuntos de dados reais.
4. Robustez: O método mantém alta eficácia mesmo contra diversas estratégias de defesa, incluindo defesas adaptativas projetadas especificamente para mitigar o envenenamento de lógica.

4. Resultados Experimentais

Os experimentos foram conduzidos em conjuntos de dados reais (Cora, Pubmed, Flickr, Arxiv, MUTAG, etc.) e sob diferentes configurações:

• Taxa de Sucesso do Ataque (ASR): O Ba-Logic alcançou consistentemente ASRs próximos a 100% (ex: 98.52% em Cora, 99.98% em Flickr), enquanto os melhores métodos concorrentes (como UGBA-C e DPGBA-C) variaram entre 60% e 70% ou falharam completamente em alguns casos.
• Precisão Limpa (Clean Accuracy): O método manteve a precisão em dados limpos (sem gatilhos) comparável aos modelos GNN originais, ao contrário de outros métodos que degradaram significativamente o desempenho em dados limpos.
• Generalização:
  • Funcionou bem em diferentes arquiteturas de GNN (GCN, GAT, GIN, GraphSAGE).
  • Foi eficaz em grafos heterofílicos (onde nós conectados têm rótulos diferentes).
  • Escalou para grafos de grande escala (OGBN-Products com 2,4 milhões de nós).
• Resistência a Defesas: O Ba-Logic manteve alta ASR (>80%) mesmo contra defesas avançadas como GCN-Prune, RobustGCN, GNNGuard, RIGBD e defesas adaptativas propostas pelos autores (Regularização de Explicabilidade, Mascaramento de Gradiente, etc.).
• Análise de Importância (IRT): A métrica de "Taxa de Importância do Gatilho" (IRT) mostrou que o Ba-Logic faz com que o modelo atribua alta importância aos gatilhos, confirmando a hipótese de envenenamento da lógica interna.

5. Significado e Impacto

• Segurança de IA: O trabalho revela uma nova e grave vulnerabilidade nas GNNs: mesmo sem alterar rótulos, é possível manipular a lógica interna do modelo para que ele confie cegamente em padrões injetados pelo atacante.
• Realismo: Ao focar no cenário de "rótulo limpo", o estudo aborda uma ameaça muito mais realista e difícil de mitigar do que os ataques de rótulo sujo (dirty-label), que são frequentemente considerados impraticáveis em ambientes de produção.
• Direção Futura: O artigo destaca a necessidade urgente de desenvolver novas defesas que não apenas removam gatilhos, mas que também protejam a integridade da lógica de previsão interna dos modelos de aprendizado de máquina em grafos.

Em resumo, o Ba-Logic estabelece um novo estado da arte em ataques de backdoor em grafos, demonstrando que a manipulação da lógica de previsão interna é a chave para ataques eficazes e indetectáveis em cenários de rótulo limpo.