会员服务
令牌 · 侧信道 · 语言模型 · 攻击 · 解码 ·
6 月 10 日
The Vision Encoder as a Privacy Boundary: Visual-Token Side Channels in Encoder-Free Vision-Language Models
翻译:视觉编码器作为隐私边界:无编码器视觉-语言模型中的视觉令牌侧信道
Chenyu Zhou,Qiliang Jiang,Shuning Wu,Xu Zhou
Chenyu Zhou,Qiliang Jiang,Shuning Wu,Xu Zhou

A vision encoder compresses image pixels into semantic embeddings, implicitly acting as a privacy boundary by preserving semantic content while attenuating pixel-local detail required for exact text recovery. Encoder-free vision-language models (VLMs) remove this boundary by routing image patches directly into the language-model token stream, thereby exposing an architectural privacy attack surface: intermediate visual tokens become a pre-output side channel. Under a token-access adversary, decoders invert visual-token streams from two encoder-free VLMs, Gemma4 and Fuyu, recovering recognizable image structure and readable held-out access codes, whereas matched encoder-based controls localize target regions but recover no exact strings. Within-model ablations show that the operative factor is spatial sampling fidelity of the visual-token grid, especially character-direction sampling density, rather than token or value count. The leakage is not limited to exported tokens: Gemma4 layer-0 key-value cache tensors are directly invertible, placing the side channel within KV caches commonly persisted by production serving stacks for decoding efficiency. The attack survives clutter, realistic document degradation, and zero-shot transfer to public document images, and it resists value-level defenses such as additive noise and quantization. Effective mitigation must therefore reduce spatial sampling, making removal of the vision encoder a first-class privacy decision in VLM deployment.


翻译:视觉编码器将图像像素压缩为语义嵌入,通过保留语义内容的同时削弱文本精确恢复所需的像素级细节,隐式充当了隐私边界。无编码器视觉-语言模型(VLM)通过将图像块直接路由至语言模型令牌流中移除了这一边界,从而暴露了架构层面的隐私攻击面:中间视觉令牌成为预输出侧信道。在令牌访问对抗者场景下,解码器对Gemma4和Fuyu两个无编码器VLM的视觉令牌流进行逆向还原,恢复出可识别的图像结构及可读的保留访问码;而匹配的编码器对照组仅能定位目标区域却无法恢复精确字符串。模型内消融实验表明,关键因素在于视觉令牌网格的空间采样保真度(特别是字符方向采样密度),而非令牌或数值数量。该泄露并不局限于导出的令牌:Gemma4第0层键值缓存张量可直接逆转换,将侧信道置于生产服务堆栈为提升解码效率而持久化存储的KV缓存中。该攻击能抵御杂乱背景、真实文档退化及零样本迁移至公开文档图像,并可抵抗加性噪声与量化等数值级防御。因此有效缓解措施必须降低空间采样,使得移除视觉编码器成为VLM部署中的一级隐私决策。
0
下载
关闭预览

相关内容

[ICML 2026] 看见的还是思考的?用奖励机制区分“看错”与“想错”:视觉语言模型奖励感知
[ICML 2026] 看见的还是思考的?用奖励机制区分“看错”与“想错”:视觉语言模型奖励感知
专知会员服务
10+阅读 · 5月15日
在无标注条件下适配视觉—语言模型:全面综述
在无标注条件下适配视觉—语言模型:全面综述
专知会员服务
13+阅读 · 2025年8月9日
【ICML2025】隐私防护图像压缩:防御视觉-语言预训练模型的滥用
【ICML2025】隐私防护图像压缩:防御视觉-语言预训练模型的滥用
专知会员服务
5+阅读 · 2025年6月22日
【ICML2025】层级对齐:在视觉语言模型中检验图像编码器层的安全对齐
【ICML2025】层级对齐:在视觉语言模型中检验图像编码器层的安全对齐
专知会员服务
7+阅读 · 2025年5月2日
【CVPR2024】"ViTamin:在视觉-语言时代设计可扩展的视觉模型"
【CVPR2024】"ViTamin:在视觉-语言时代设计可扩展的视觉模型"
专知会员服务
28+阅读 · 2024年4月4日
【CVPR2024】RegionGPT: 向着区域理解视觉语言模型发展
【CVPR2024】RegionGPT: 向着区域理解视觉语言模型发展
专知会员服务
21+阅读 · 2024年3月9日
CVPR 2023开会了!UIUC等最新《知识驱动的视觉语言编码》教程,附ppt
CVPR 2023开会了!UIUC等最新《知识驱动的视觉语言编码》教程,附ppt
专知会员服务
34+阅读 · 2023年6月24日
【CVPR2023】面向自监督视觉表示学习的混合自编码器
【CVPR2023】面向自监督视觉表示学习的混合自编码器
专知会员服务
25+阅读 · 2023年4月3日
自监督学习未来是掩码自编码器?KAIST最新《自监督学习掩码自编码器》研究进展
自监督学习未来是掩码自编码器?KAIST最新《自监督学习掩码自编码器》研究进展
专知会员服务
35+阅读 · 2022年8月3日
【ICLR 2022】无监督计算机视觉的最新技术:MIT等科学家“通过提取特征对应的无监督语义分割”Unsupervised semantic segmentation by distilling feature correspondences
【ICLR 2022】无监督计算机视觉的最新技术:MIT等科学家“通过提取特征对应的无监督语义分割”Unsupervised semantic segmentation by distilling feature correspondences
专知会员服务
37+阅读 · 2022年4月23日
【AAAI2020论文】用于视觉对话中深度视觉理解的自适应双向编码模型—DualVD, 中科院信工所于静等
【AAAI2020论文】用于视觉对话中深度视觉理解的自适应双向编码模型—DualVD, 中科院信工所于静等
专知
20+阅读 · 2019年11月24日
NLP+CV《桥接视觉与语言的研究综述》,带你全面了解视觉+语言最新应用和方法
NLP+CV《桥接视觉与语言的研究综述》,带你全面了解视觉+语言最新应用和方法
中国人工智能学会
27+阅读 · 2019年7月24日
学界 | 受压缩感知启发,斯坦福 AI 研究院提出新的无监督表示学习框架!
学界 | 受压缩感知启发,斯坦福 AI 研究院提出新的无监督表示学习框架!
AI科技评论
10+阅读 · 2019年6月18日
无需建模:谷歌SpecAugment即可获得最先进的语音识别性能
无需建模:谷歌SpecAugment即可获得最先进的语音识别性能
云头条
18+阅读 · 2019年4月23日
【CVPR Oral】视频跟踪新思路,完全无需手工标注
【CVPR Oral】视频跟踪新思路,完全无需手工标注
新智元
19+阅读 · 2019年4月21日
自注意力机制在计算机视觉中的应用
自注意力机制在计算机视觉中的应用
GAN生成式对抗网络
19+阅读 · 2018年12月20日
【语义分割】一文概览主要语义分割网络:FCN,SegNet,U-Net...
【语义分割】一文概览主要语义分割网络:FCN,SegNet,U-Net...
产业智能官
18+阅读 · 2018年7月26日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
【干货】深入理解变分自编码器
【干货】深入理解变分自编码器
专知
21+阅读 · 2018年3月22日
【干货】深入理解自编码器(附代码实现)
【干货】深入理解自编码器(附代码实现)
专知
136+阅读 · 2018年3月9日
基于内容分析的低复杂度高效视频编码方法
国家自然科学基金
0+阅读 · 2015年12月31日
基于移动平台的视频信息隐藏关键技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向用户体验的无线异构软件定义网络资源管理研究
国家自然科学基金
2+阅读 · 2015年12月31日
即时通信中的隐蔽通信模型及方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
保持结构的交互式图像及视频编辑方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向无线多媒体传感器网络的高效压缩视频感知
国家自然科学基金
0+阅读 · 2015年12月31日
行人重识别目标中心编码外观模型的研究
国家自然科学基金
1+阅读 · 2015年12月31日
结合信道编码的低开销网络编码机制研究
国家自然科学基金
0+阅读 · 2015年12月31日
即时通讯匿名隐通道系统模型与算法研究
国家自然科学基金
1+阅读 · 2015年12月31日
移动与可穿戴计算中Eyes-Free交互界面研究
国家自然科学基金
0+阅读 · 2014年12月31日
Self-Questioning Vision-Language Models: Reinforcement Learning for Compositional Visual Reasoning
Arxiv
0+阅读 · 6月14日
GEASS: Gated Evidence-Adaptive Selective Caption Trust for Vision-Language Models
Arxiv
0+阅读 · 6月13日
MirrorCheck: Efficient Adversarial Defense for Vision-Language Models
Arxiv
0+阅读 · 6月12日
Adapting Vision-Language Models from Iconic to Inclusive for Multi-Label Recognition Without Labels
Arxiv
0+阅读 · 6月10日
AgenticNav: Zero-Shot Vision-and-Language Navigation as a Tool-Calling Harness
Arxiv
0+阅读 · 6月9日
Your Model Already Knows: Attention-Guided Safety Filter for Vision-Language-Action Models
Arxiv
0+阅读 · 6月8日
VisualLeakBench: Reproducible Action-Boundary Propagation Failures in Vision-Language Agents
Arxiv
0+阅读 · 5月29日
AwareVLN: Reasoning with Self-awareness for Vision-Language Navigation
Arxiv
0+阅读 · 5月21日
Object Hallucination-Free Reinforcement Unlearning for Vision-Language Models
Arxiv
0+阅读 · 5月8日
Hierarchical Semantic Correlation-Aware Masked Autoencoder for Unsupervised Audio-Visual Representation Learning
Arxiv
0+阅读 · 4月5日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
令牌
侧信道
语言模型
攻击
解码
最新内容
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
专知会员服务
6+阅读 · 今天2:06
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
专知会员服务
5+阅读 · 今天1:37
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
专知会员服务
3+阅读 · 6月17日
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
专知会员服务
5+阅读 · 6月17日
学习数据的几何:形状空间分析数学综述
学习数据的几何:形状空间分析数学综述
专知会员服务
4+阅读 · 6月17日
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
专知会员服务
6+阅读 · 6月17日
定向能反无人机系统最新发展动态
定向能反无人机系统最新发展动态
专知会员服务
6+阅读 · 6月17日
从燃煤战舰到算法战争:水面指挥的永恒要求
从燃煤战舰到算法战争:水面指挥的永恒要求
专知会员服务
3+阅读 · 6月17日
《短程弹道再入飞行器拦截时间中的一项异常现象》
《短程弹道再入飞行器拦截时间中的一项异常现象》
专知会员服务
5+阅读 · 6月17日
《基于回归方法与任务上下文的对抗环境动态战术网络报文优先级排序》
《基于回归方法与任务上下文的对抗环境动态战术网络报文优先级排序》
专知会员服务
5+阅读 · 6月17日
美智库《战术级指挥控制的迫切要求:构建弹性机动式指挥控制网络》报告
美智库《战术级指挥控制的迫切要求:构建弹性机动式指挥控制网络》报告
专知会员服务
4+阅读 · 6月17日
《韩国国防政策与军备出口:韩国安全与国防政策如何塑造其国防工业与军备出口格局》最新100页报告
《韩国国防政策与军备出口:韩国安全与国防政策如何塑造其国防工业与军备出口格局》最新100页报告
专知会员服务
3+阅读 · 6月17日
ICML 2026 | VOTP:用视频基础模型与最优传输,让离线偏好强化学习只需少量反馈
ICML 2026 | VOTP:用视频基础模型与最优传输,让离线偏好强化学习只需少量反馈
专知会员服务
6+阅读 · 6月16日
多模态代码智能综述:从视觉输入到可执行代码系统
多模态代码智能综述:从视觉输入到可执行代码系统
专知会员服务
8+阅读 · 6月16日
美国马六甲“三重网”概念:安全网、威慑网与杀伤网
美国马六甲“三重网”概念:安全网、威慑网与杀伤网
专知会员服务
6+阅读 · 6月16日
相关VIP内容
[ICML 2026] 看见的还是思考的?用奖励机制区分“看错”与“想错”:视觉语言模型奖励感知
[ICML 2026] 看见的还是思考的?用奖励机制区分“看错”与“想错”:视觉语言模型奖励感知
专知会员服务
10+阅读 · 5月15日
在无标注条件下适配视觉—语言模型:全面综述
在无标注条件下适配视觉—语言模型:全面综述
专知会员服务
13+阅读 · 2025年8月9日
【ICML2025】隐私防护图像压缩:防御视觉-语言预训练模型的滥用
【ICML2025】隐私防护图像压缩:防御视觉-语言预训练模型的滥用
专知会员服务
5+阅读 · 2025年6月22日
【ICML2025】层级对齐:在视觉语言模型中检验图像编码器层的安全对齐
【ICML2025】层级对齐:在视觉语言模型中检验图像编码器层的安全对齐
专知会员服务
7+阅读 · 2025年5月2日
【CVPR2024】"ViTamin:在视觉-语言时代设计可扩展的视觉模型"
【CVPR2024】"ViTamin:在视觉-语言时代设计可扩展的视觉模型"
专知会员服务
28+阅读 · 2024年4月4日
【CVPR2024】RegionGPT: 向着区域理解视觉语言模型发展
【CVPR2024】RegionGPT: 向着区域理解视觉语言模型发展
专知会员服务
21+阅读 · 2024年3月9日
CVPR 2023开会了!UIUC等最新《知识驱动的视觉语言编码》教程,附ppt
CVPR 2023开会了!UIUC等最新《知识驱动的视觉语言编码》教程,附ppt
专知会员服务
34+阅读 · 2023年6月24日
【CVPR2023】面向自监督视觉表示学习的混合自编码器
【CVPR2023】面向自监督视觉表示学习的混合自编码器
专知会员服务
25+阅读 · 2023年4月3日
自监督学习未来是掩码自编码器?KAIST最新《自监督学习掩码自编码器》研究进展
自监督学习未来是掩码自编码器?KAIST最新《自监督学习掩码自编码器》研究进展
专知会员服务
35+阅读 · 2022年8月3日
【ICLR 2022】无监督计算机视觉的最新技术:MIT等科学家“通过提取特征对应的无监督语义分割”Unsupervised semantic segmentation by distilling feature correspondences
【ICLR 2022】无监督计算机视觉的最新技术:MIT等科学家“通过提取特征对应的无监督语义分割”Unsupervised semantic segmentation by distilling feature correspondences
专知会员服务
37+阅读 · 2022年4月23日
热门VIP内容
相关资讯
【AAAI2020论文】用于视觉对话中深度视觉理解的自适应双向编码模型—DualVD, 中科院信工所于静等
【AAAI2020论文】用于视觉对话中深度视觉理解的自适应双向编码模型—DualVD, 中科院信工所于静等
专知
20+阅读 · 2019年11月24日
NLP+CV《桥接视觉与语言的研究综述》,带你全面了解视觉+语言最新应用和方法
NLP+CV《桥接视觉与语言的研究综述》,带你全面了解视觉+语言最新应用和方法
中国人工智能学会
27+阅读 · 2019年7月24日
学界 | 受压缩感知启发,斯坦福 AI 研究院提出新的无监督表示学习框架!
学界 | 受压缩感知启发,斯坦福 AI 研究院提出新的无监督表示学习框架!
AI科技评论
10+阅读 · 2019年6月18日
无需建模:谷歌SpecAugment即可获得最先进的语音识别性能
无需建模:谷歌SpecAugment即可获得最先进的语音识别性能
云头条
18+阅读 · 2019年4月23日
【CVPR Oral】视频跟踪新思路,完全无需手工标注
【CVPR Oral】视频跟踪新思路,完全无需手工标注
新智元
19+阅读 · 2019年4月21日
自注意力机制在计算机视觉中的应用
自注意力机制在计算机视觉中的应用
GAN生成式对抗网络
19+阅读 · 2018年12月20日
【语义分割】一文概览主要语义分割网络:FCN,SegNet,U-Net...
【语义分割】一文概览主要语义分割网络:FCN,SegNet,U-Net...
产业智能官
18+阅读 · 2018年7月26日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
【干货】深入理解变分自编码器
【干货】深入理解变分自编码器
专知
21+阅读 · 2018年3月22日
【干货】深入理解自编码器(附代码实现)
【干货】深入理解自编码器(附代码实现)
专知
136+阅读 · 2018年3月9日
相关论文
Self-Questioning Vision-Language Models: Reinforcement Learning for Compositional Visual Reasoning
Arxiv
0+阅读 · 6月14日
GEASS: Gated Evidence-Adaptive Selective Caption Trust for Vision-Language Models
Arxiv
0+阅读 · 6月13日
MirrorCheck: Efficient Adversarial Defense for Vision-Language Models
Arxiv
0+阅读 · 6月12日
Adapting Vision-Language Models from Iconic to Inclusive for Multi-Label Recognition Without Labels
Arxiv
0+阅读 · 6月10日
AgenticNav: Zero-Shot Vision-and-Language Navigation as a Tool-Calling Harness
Arxiv
0+阅读 · 6月9日
Your Model Already Knows: Attention-Guided Safety Filter for Vision-Language-Action Models
Arxiv
0+阅读 · 6月8日
VisualLeakBench: Reproducible Action-Boundary Propagation Failures in Vision-Language Agents
Arxiv
0+阅读 · 5月29日
AwareVLN: Reasoning with Self-awareness for Vision-Language Navigation
Arxiv
0+阅读 · 5月21日
Object Hallucination-Free Reinforcement Unlearning for Vision-Language Models
Arxiv
0+阅读 · 5月8日
Hierarchical Semantic Correlation-Aware Masked Autoencoder for Unsupervised Audio-Visual Representation Learning
Arxiv
0+阅读 · 4月5日
相关基金
基于内容分析的低复杂度高效视频编码方法
国家自然科学基金
0+阅读 · 2015年12月31日
基于移动平台的视频信息隐藏关键技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向用户体验的无线异构软件定义网络资源管理研究
国家自然科学基金
2+阅读 · 2015年12月31日
即时通信中的隐蔽通信模型及方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
保持结构的交互式图像及视频编辑方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向无线多媒体传感器网络的高效压缩视频感知
国家自然科学基金
0+阅读 · 2015年12月31日
行人重识别目标中心编码外观模型的研究
国家自然科学基金
1+阅读 · 2015年12月31日
结合信道编码的低开销网络编码机制研究
国家自然科学基金
0+阅读 · 2015年12月31日
即时通讯匿名隐通道系统模型与算法研究
国家自然科学基金
1+阅读 · 2015年12月31日
移动与可穿戴计算中Eyes-Free交互界面研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top