会员服务
攻击 · 后门攻击 · 微调 · 扩散模型 · Stable Diffusion ·
3 月 4 日
Tuning Just Enough: Lightweight Backdoor Attacks on Multi-Encoder Diffusion Models
翻译:微调即足:针对多编码器扩散模型的轻量级后门攻击
Ziyuan Chen,Yujin Jeong,Tobias Braun,Anna Rohrbach
Ziyuan Chen,Yujin Jeong,Tobias Braun,Anna Rohrbach

As text-to-image diffusion models become increasingly deployed in real-world applications, concerns about backdoor attacks have gained significant attention. Prior work on text-based backdoor attacks has largely focused on diffusion models conditioned on a single lightweight text encoder. However, more recent diffusion models that incorporate multiple large-scale text encoders remain underexplored in this context. Given the substantially increased number of trainable parameters introduced by multiple text encoders, an important question is whether backdoor attacks can remain both efficient and effective in such settings. In this work, we study Stable Diffusion 3, which uses three distinct text encoders and has not yet been systematically analyzed for text-encoder-based backdoor vulnerabilities. To understand the role of text encoders in backdoor attacks, we define four categories of attack targets and identify the minimal sets of encoders required to achieve effective performance for each attack objective. Based on this, we further propose Multi-Encoder Lightweight aTtacks (MELT), which trains only low-rank adapters while keeping the pretrained text encoder weight frozen. We demonstrate that tuning fewer than 0.2% of the total encoder parameters is sufficient for successful backdoor attacks on Stable Diffusion 3, revealing previously underexplored vulnerabilities in practical attack scenarios in multi-encoder settings.


翻译:随着文本到图像扩散模型在现实应用中的部署日益广泛,关于后门攻击的担忧已引起显著关注。先前基于文本的后门攻击研究主要集中于使用单一轻量级文本编码器进行条件化的扩散模型。然而,近期采用多个大规模文本编码器的扩散模型在此背景下仍未得到充分探索。鉴于多个文本编码器引入了大量可训练参数,一个重要问题是后门攻击在此类设置中是否仍能保持高效与有效。在本工作中,我们研究了使用三种不同文本编码器的Stable Diffusion 3,该系统尚未针对基于文本编码器的后门漏洞进行系统分析。为理解文本编码器在后门攻击中的作用,我们定义了四类攻击目标,并识别了实现每种攻击目标所需的最小编码器集合。基于此,我们进一步提出了多编码器轻量级攻击(MELT),该方法仅训练低秩适配器,同时保持预训练文本编码器权重冻结。我们证明,仅微调总编码器参数中不到0.2%的部分,便足以在Stable Diffusion 3上实现成功的后门攻击,这揭示了多编码器设置中实际攻击场景下先前未被充分探索的脆弱性。
0
下载
关闭预览

相关内容

计算机视觉领域的后门攻击与防御:综述
计算机视觉领域的后门攻击与防御:综述
专知会员服务
19+阅读 · 2025年9月13日
深度学习中的架构后门:漏洞、检测与防御综述
深度学习中的架构后门:漏洞、检测与防御综述
专知会员服务
12+阅读 · 2025年7月19日
面向深度学习的后门攻击及防御研究综述
面向深度学习的后门攻击及防御研究综述
专知会员服务
12+阅读 · 2025年7月4日
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
专知会员服务
10+阅读 · 2025年3月22日
生成扩散模型的攻击与防御:全面综述
生成扩散模型的攻击与防御:全面综述
专知会员服务
22+阅读 · 2024年8月11日
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
专知会员服务
30+阅读 · 2023年11月21日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文
《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文
专知会员服务
26+阅读 · 2022年11月16日
【ICLR2021】神经元注意力蒸馏消除DNN中的后门触发器
【ICLR2021】神经元注意力蒸馏消除DNN中的后门触发器
专知会员服务
15+阅读 · 2021年1月31日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
31+阅读 · 2020年11月21日
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
AINLP
22+阅读 · 2020年11月29日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
36+阅读 · 2019年10月23日
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
AI前线
15+阅读 · 2019年3月21日
基于深度学习的文本分类6大算法-原理、结构、论文、源码打包分享
基于深度学习的文本分类6大算法-原理、结构、论文、源码打包分享
深度学习与NLP
25+阅读 · 2018年7月18日
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
专知
20+阅读 · 2018年4月7日
【干货】深入理解自编码器(附代码实现)
【干货】深入理解自编码器(附代码实现)
专知
136+阅读 · 2018年3月9日
【干货】一文读懂什么是变分自编码器
【干货】一文读懂什么是变分自编码器
专知
12+阅读 · 2018年2月11日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
【实战】利用卷积自编码器实现图片降噪(代码开源)
【实战】利用卷积自编码器实现图片降噪(代码开源)
新智元
11+阅读 · 2017年7月17日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
面向多核DSP的实时视频并行编码关键技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
高容错能力的阵列纠删码模型研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
欠覆盖环境下城市多源监控视频大数据高效编码方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
满足差分隐私的频繁模式挖掘研究
国家自然科学基金
2+阅读 · 2015年12月31日
随机接入中的分布式功率控制和数据包编码传输
国家自然科学基金
0+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
用隐身方法对散射介质后物体非侵入式成像
国家自然科学基金
0+阅读 · 2015年12月31日
Poisoning the Pixels: Revisiting Backdoor Attacks on Semantic Segmentation
Arxiv
0+阅读 · 3月17日
Inevitable Encounters: Backdoor Attacks Involving Lossy Compression
Arxiv
0+阅读 · 3月14日
Inference-Time Backdoors via Hidden Instructions in LLM Chat Templates
Arxiv
0+阅读 · 3月9日
SFIBA: Spatial-based Full-target Invisible Backdoor Attacks
Arxiv
0+阅读 · 3月7日
When One Modality Rules Them All: Backdoor Modality Collapse in Multimodal Diffusion Models
Arxiv
0+阅读 · 3月6日
Revisiting Backdoor Threat in Federated Instruction Tuning from a Signal Aggregation Perspective
Arxiv
0+阅读 · 2月17日
Transferable Backdoor Attacks for Code Models via Sharpness-Aware Adversarial Perturbation
Arxiv
0+阅读 · 2月11日
Inference-Time Backdoors via Hidden Instructions in LLM Chat Templates
Arxiv
0+阅读 · 2月4日
Semantic-level Backdoor Attack against Text-to-Image Diffusion Models
Arxiv
0+阅读 · 2月3日
Backdoor Sentinel: Detecting and Detoxifying Backdoors in Diffusion Models via Temporal Noise Consistency
Arxiv
0+阅读 · 2月2日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
后门攻击
微调
扩散模型
Stable Diffusion
最新内容
美国力量的新架构:Anduril、Palantir、SpaceX 与美国军工格局的转型
美国力量的新架构:Anduril、Palantir、SpaceX 与美国军工格局的转型
专知会员服务
0+阅读 · 50分钟前
机器人领域中的视觉-语言-动作模型:数据集、基准测试与数据引擎综述
机器人领域中的视觉-语言-动作模型:数据集、基准测试与数据引擎综述
专知会员服务
1+阅读 · 4月29日
主权智能前沿:战略霸权与算法战争代差的比较分析——第二部分
主权智能前沿:战略霸权与算法战争代差的比较分析——第二部分
专知会员服务
6+阅读 · 4月29日
万亿美元智能竞赛:OpenAI的主权崛起与数字神经系统的高风险博弈——第一部分
万亿美元智能竞赛:OpenAI的主权崛起与数字神经系统的高风险博弈——第一部分
专知会员服务
5+阅读 · 4月29日
《忠诚僚机、人工智能与认知增强:对赛博格-无人机战争的警示》
《忠诚僚机、人工智能与认知增强:对赛博格-无人机战争的警示》
专知会员服务
5+阅读 · 4月29日
《化繁为简:军事模拟器配置的对话式方法》报告
《化繁为简:军事模拟器配置的对话式方法》报告
专知会员服务
6+阅读 · 4月29日
《人机协同研究报告——衡量与预测技术流利性:知识、技能、能力及其他行为如何促成技术精通》146页
《人机协同研究报告——衡量与预测技术流利性:知识、技能、能力及其他行为如何促成技术精通》146页
专知会员服务
9+阅读 · 4月29日
《新兴技术武器化及其对全球风险的影响》
《新兴技术武器化及其对全球风险的影响》
专知会员服务
7+阅读 · 4月29日
《帕兰泰尔平台介绍:信息分析平台》
《帕兰泰尔平台介绍:信息分析平台》
专知会员服务
16+阅读 · 4月29日
Maven智能系统(MSS)如何赋能第三方解决方案:北约视角
Maven智能系统(MSS)如何赋能第三方解决方案:北约视角
专知会员服务
10+阅读 · 4月29日
【伯克利博士论文】深度解析 AI 智能体的失配问题
【伯克利博士论文】深度解析 AI 智能体的失配问题
专知会员服务
8+阅读 · 4月28日
智能体化世界建模:基础、能力、规律及展望
智能体化世界建模:基础、能力、规律及展望
专知会员服务
11+阅读 · 4月28日
MIT人机协同水下作业关键技术研究——集成适配至美国海军现役AUV
MIT人机协同水下作业关键技术研究——集成适配至美国海军现役AUV
专知会员服务
8+阅读 · 4月28日
美海警海上态势感知无人系统
美海警海上态势感知无人系统
专知会员服务
6+阅读 · 4月28日
安杜里尔Lattice平台的发展演变:美军多域自主作战的核心软件架构
安杜里尔Lattice平台的发展演变:美军多域自主作战的核心软件架构
专知会员服务
10+阅读 · 4月28日
相关VIP内容
计算机视觉领域的后门攻击与防御:综述
计算机视觉领域的后门攻击与防御:综述
专知会员服务
19+阅读 · 2025年9月13日
深度学习中的架构后门:漏洞、检测与防御综述
深度学习中的架构后门:漏洞、检测与防御综述
专知会员服务
12+阅读 · 2025年7月19日
面向深度学习的后门攻击及防御研究综述
面向深度学习的后门攻击及防御研究综述
专知会员服务
12+阅读 · 2025年7月4日
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
专知会员服务
10+阅读 · 2025年3月22日
生成扩散模型的攻击与防御:全面综述
生成扩散模型的攻击与防御:全面综述
专知会员服务
22+阅读 · 2024年8月11日
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
专知会员服务
30+阅读 · 2023年11月21日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文
《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文
专知会员服务
26+阅读 · 2022年11月16日
【ICLR2021】神经元注意力蒸馏消除DNN中的后门触发器
【ICLR2021】神经元注意力蒸馏消除DNN中的后门触发器
专知会员服务
15+阅读 · 2021年1月31日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
31+阅读 · 2020年11月21日
热门VIP内容
相关资讯
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
AINLP
22+阅读 · 2020年11月29日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
36+阅读 · 2019年10月23日
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
AI前线
15+阅读 · 2019年3月21日
基于深度学习的文本分类6大算法-原理、结构、论文、源码打包分享
基于深度学习的文本分类6大算法-原理、结构、论文、源码打包分享
深度学习与NLP
25+阅读 · 2018年7月18日
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
专知
20+阅读 · 2018年4月7日
【干货】深入理解自编码器(附代码实现)
【干货】深入理解自编码器(附代码实现)
专知
136+阅读 · 2018年3月9日
【干货】一文读懂什么是变分自编码器
【干货】一文读懂什么是变分自编码器
专知
12+阅读 · 2018年2月11日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
【实战】利用卷积自编码器实现图片降噪(代码开源)
【实战】利用卷积自编码器实现图片降噪(代码开源)
新智元
11+阅读 · 2017年7月17日
相关论文
Poisoning the Pixels: Revisiting Backdoor Attacks on Semantic Segmentation
Arxiv
0+阅读 · 3月17日
Inevitable Encounters: Backdoor Attacks Involving Lossy Compression
Arxiv
0+阅读 · 3月14日
Inference-Time Backdoors via Hidden Instructions in LLM Chat Templates
Arxiv
0+阅读 · 3月9日
SFIBA: Spatial-based Full-target Invisible Backdoor Attacks
Arxiv
0+阅读 · 3月7日
When One Modality Rules Them All: Backdoor Modality Collapse in Multimodal Diffusion Models
Arxiv
0+阅读 · 3月6日
Revisiting Backdoor Threat in Federated Instruction Tuning from a Signal Aggregation Perspective
Arxiv
0+阅读 · 2月17日
Transferable Backdoor Attacks for Code Models via Sharpness-Aware Adversarial Perturbation
Arxiv
0+阅读 · 2月11日
Inference-Time Backdoors via Hidden Instructions in LLM Chat Templates
Arxiv
0+阅读 · 2月4日
Semantic-level Backdoor Attack against Text-to-Image Diffusion Models
Arxiv
0+阅读 · 2月3日
Backdoor Sentinel: Detecting and Detoxifying Backdoors in Diffusion Models via Temporal Noise Consistency
Arxiv
0+阅读 · 2月2日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
面向多核DSP的实时视频并行编码关键技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
高容错能力的阵列纠删码模型研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
欠覆盖环境下城市多源监控视频大数据高效编码方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
满足差分隐私的频繁模式挖掘研究
国家自然科学基金
2+阅读 · 2015年12月31日
随机接入中的分布式功率控制和数据包编码传输
国家自然科学基金
0+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
用隐身方法对散射介质后物体非侵入式成像
国家自然科学基金
0+阅读 · 2015年12月31日
Top
微信扫码咨询专知VIP会员
Top