会员服务
攻击 · 令牌 · 机器人 · 污染 · 后门攻击 ·
2 月 3 日
When Attention Betrays: Erasing Backdoor Attacks in Robotic Policies by Reconstructing Visual Tokens
翻译:当注意力背叛:通过视觉令牌重构消除机器人策略中的后门攻击
Xuetao Li,Pinhan Fu,Wenke Huang,Nengyuan Pan,Songhua Yang,Kaiyan Zhao,Guancheng Wan,Mengde Li,Jifeng Xuan,Miao Li
Xuetao Li,Pinhan Fu,Wenke Huang,Nengyuan Pan,Songhua Yang,Kaiyan Zhao,Guancheng Wan,Mengde Li,Jifeng Xuan,Miao Li
from arxiv, ICRA2026 accepted

Downstream fine-tuning of vision-language-action (VLA) models enhances robotics, yet exposes the pipeline to backdoor risks. Attackers can pretrain VLAs on poisoned data to implant backdoors that remain stealthy but can trigger harmful behavior during inference. However, existing defenses either lack mechanistic insight into multimodal backdoors or impose prohibitive computational costs via full-model retraining. To this end, we uncover a deep-layer attention grabbing mechanism: backdoors redirect late-stage attention and form compact embedding clusters near the clean manifold. Leveraging this insight, we introduce Bera, a test-time backdoor erasure framework that detects tokens with anomalous attention via latent-space localization, masks suspicious regions using deep-layer cues, and reconstructs a trigger-free image to break the trigger-unsafe-action mapping while restoring correct behavior. Unlike prior defenses, Bera requires neither retraining of VLAs nor any changes to the training pipeline. Extensive experiments across multiple embodied platforms and tasks show that Bera effectively maintains nominal performance, significantly reduces attack success rates, and consistently restores benign behavior from backdoored outputs, thereby offering a robust and practical defense mechanism for securing robotic systems.


翻译:视觉-语言-动作(VLA)模型的下游微调增强了机器人能力,但也使整个流程暴露于后门风险之中。攻击者可以在被污染的数据上预训练VLA模型,植入在推理阶段可被触发、导致有害行为但仍保持隐蔽的后门。然而,现有防御方法要么缺乏对多模态后门机制的理解,要么因需进行全模型重训练而带来过高的计算成本。为此,我们揭示了一种深层注意力劫持机制:后门会重定向后期注意力,并在干净流形附近形成紧凑的嵌入簇。基于这一洞见,我们提出了Bera,一种测试时后门擦除框架。该框架通过潜在空间定位检测具有异常注意力的令牌,利用深层线索掩蔽可疑区域,并重构一个无触发器的图像,从而打破触发器-不安全行为的映射关系,同时恢复正确行为。与先前防御方法不同,Bera既不需要对VLA模型进行重训练,也无需对训练流程做任何改动。在多个具身平台和任务上进行的大量实验表明,Bera能有效维持标称性能,显著降低攻击成功率,并持续从被后门污染的模型中恢复良性行为,从而为保障机器人系统安全提供了一个鲁棒且实用的防御机制。
0
下载
关闭预览

相关内容

面向具身操作的高效视觉–语言–动作模型:系统综述
面向具身操作的高效视觉–语言–动作模型:系统综述
专知会员服务
24+阅读 · 2025年10月22日
计算机视觉领域的后门攻击与防御:综述
计算机视觉领域的后门攻击与防御:综述
专知会员服务
19+阅读 · 2025年9月13日
面向深度学习的后门攻击及防御研究综述
面向深度学习的后门攻击及防御研究综述
专知会员服务
12+阅读 · 2025年7月4日
视觉语言动作模型:概念、进展、应用与挑战
视觉语言动作模型:概念、进展、应用与挑战
专知会员服务
19+阅读 · 2025年5月18日
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
专知会员服务
10+阅读 · 2025年3月22日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
可解释人工智能中的对抗攻击和防御
可解释人工智能中的对抗攻击和防御
专知会员服务
43+阅读 · 2023年6月20日
《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文
《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文
专知会员服务
26+阅读 · 2022年11月16日
【ICLR2021】神经元注意力蒸馏消除DNN中的后门触发器
【ICLR2021】神经元注意力蒸馏消除DNN中的后门触发器
专知会员服务
15+阅读 · 2021年1月31日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
30+阅读 · 2020年11月21日
《通过近似动态规划解决具有动态目标到达的多Agent路由问题》美国空军大学130页学位论文
《通过近似动态规划解决具有动态目标到达的多Agent路由问题》美国空军大学130页学位论文
专知
15+阅读 · 2022年7月22日
《人工智能在空战指挥与控制中的应用》中文版,美国空军大学空军指挥参谋学院
《人工智能在空战指挥与控制中的应用》中文版,美国空军大学空军指挥参谋学院
专知
105+阅读 · 2022年4月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
【AI+ 军事】美政府问责局(GAO)最新《人工智能:国防部应改进策略和流程并加强协作指导》报告,97页pdf
【AI+ 军事】美政府问责局(GAO)最新《人工智能:国防部应改进策略和流程并加强协作指导》报告,97页pdf
专知
57+阅读 · 2022年4月11日
【CVPR2021】基于反事实推断的视觉问答框架
【CVPR2021】基于反事实推断的视觉问答框架
专知
38+阅读 · 2021年3月4日
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
AINLP
22+阅读 · 2020年11月29日
自注意力机制在计算机视觉中的应用
自注意力机制在计算机视觉中的应用
GAN生成式对抗网络
19+阅读 · 2018年12月20日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
【AAAI 2018】多种注意力机制互补完成VQA(视觉问答),清华大学、香港中文大学等团队最新工作
【AAAI 2018】多种注意力机制互补完成VQA(视觉问答),清华大学、香港中文大学等团队最新工作
专知
22+阅读 · 2017年12月17日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
融合人脑意图与力觉反馈的外骨骼机器人步态控制CPG模型及调节方法
国家自然科学基金
0+阅读 · 2015年12月31日
改进智能优化策略多机动目标跟踪方法研究
国家自然科学基金
17+阅读 · 2015年12月31日
人类视空间分类的神经机制
国家自然科学基金
1+阅读 · 2015年12月31日
新视觉模型下非完整移动机器人同时镇定和跟踪控制研究
国家自然科学基金
0+阅读 · 2015年12月31日
深度学习框架下基于情境线索的视觉注意研究
国家自然科学基金
2+阅读 · 2015年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
基于深度学习的特征融合在移动机器人视觉中的场景理解及研究
国家自然科学基金
12+阅读 · 2014年12月31日
基于逆向强化学习和人工智能的移动机器人自主学习方法研究
国家自然科学基金
12+阅读 · 2013年12月31日
数据和模型混合驱动的虚拟人群行为仿真技术研究及其在军事中的应用
国家自然科学基金
10+阅读 · 2011年12月31日
强化学习关键技术及其在机器人行为学习中的应用
国家自然科学基金
23+阅读 · 2009年12月31日
Kill it with FIRE: On Leveraging Latent Space Directions for Runtime Backdoor Mitigation in Deep Neural Networks
Arxiv
0+阅读 · 2月11日
Transferable Backdoor Attacks for Code Models via Sharpness-Aware Adversarial Perturbation
Arxiv
0+阅读 · 2月11日
BEAT: Visual Backdoor Attacks on VLM-based Embodied Agents via Contrastive Trigger Learning
Arxiv
0+阅读 · 2月6日
Inference-Time Backdoors via Hidden Instructions in LLM Chat Templates
Arxiv
0+阅读 · 2月4日
DF-LoGiT: Data-Free Logic-Gated Backdoor Attacks in Vision Transformers
Arxiv
0+阅读 · 2月3日
Concept-Based Dictionary Learning for Inference-Time Safety in Vision Language Action Models
Arxiv
0+阅读 · 2月2日
LaST$_{0}$: Latent Spatio-Temporal Chain-of-Thought for Robotic Vision-Language-Action Model
Arxiv
0+阅读 · 2月2日
Unmasking Backdoors: An Explainable Defense via Gradient-Attention Anomaly Scoring for Pre-trained Language Models
Arxiv
0+阅读 · 1月30日
ReViP: Reducing False Completion in Vision-Language-Action Models with Vision-Proprioception Rebalance
Arxiv
0+阅读 · 1月23日
SilentDrift: Exploiting Action Chunking for Stealthy Backdoor Attacks on Vision-Language-Action Models
Arxiv
0+阅读 · 1月20日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
令牌
机器人
污染
后门攻击
相关VIP内容
面向具身操作的高效视觉–语言–动作模型:系统综述
面向具身操作的高效视觉–语言–动作模型:系统综述
专知会员服务
24+阅读 · 2025年10月22日
计算机视觉领域的后门攻击与防御:综述
计算机视觉领域的后门攻击与防御:综述
专知会员服务
19+阅读 · 2025年9月13日
面向深度学习的后门攻击及防御研究综述
面向深度学习的后门攻击及防御研究综述
专知会员服务
12+阅读 · 2025年7月4日
视觉语言动作模型:概念、进展、应用与挑战
视觉语言动作模型:概念、进展、应用与挑战
专知会员服务
19+阅读 · 2025年5月18日
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
专知会员服务
10+阅读 · 2025年3月22日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
可解释人工智能中的对抗攻击和防御
可解释人工智能中的对抗攻击和防御
专知会员服务
43+阅读 · 2023年6月20日
《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文
《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文
专知会员服务
26+阅读 · 2022年11月16日
【ICLR2021】神经元注意力蒸馏消除DNN中的后门触发器
【ICLR2021】神经元注意力蒸馏消除DNN中的后门触发器
专知会员服务
15+阅读 · 2021年1月31日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
30+阅读 · 2020年11月21日
热门VIP内容
相关资讯
《通过近似动态规划解决具有动态目标到达的多Agent路由问题》美国空军大学130页学位论文
《通过近似动态规划解决具有动态目标到达的多Agent路由问题》美国空军大学130页学位论文
专知
15+阅读 · 2022年7月22日
《人工智能在空战指挥与控制中的应用》中文版,美国空军大学空军指挥参谋学院
《人工智能在空战指挥与控制中的应用》中文版,美国空军大学空军指挥参谋学院
专知
105+阅读 · 2022年4月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
【AI+ 军事】美政府问责局(GAO)最新《人工智能:国防部应改进策略和流程并加强协作指导》报告,97页pdf
【AI+ 军事】美政府问责局(GAO)最新《人工智能:国防部应改进策略和流程并加强协作指导》报告,97页pdf
专知
57+阅读 · 2022年4月11日
【CVPR2021】基于反事实推断的视觉问答框架
【CVPR2021】基于反事实推断的视觉问答框架
专知
38+阅读 · 2021年3月4日
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
AINLP
22+阅读 · 2020年11月29日
自注意力机制在计算机视觉中的应用
自注意力机制在计算机视觉中的应用
GAN生成式对抗网络
19+阅读 · 2018年12月20日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
【AAAI 2018】多种注意力机制互补完成VQA(视觉问答),清华大学、香港中文大学等团队最新工作
【AAAI 2018】多种注意力机制互补完成VQA(视觉问答),清华大学、香港中文大学等团队最新工作
专知
22+阅读 · 2017年12月17日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
相关论文
Kill it with FIRE: On Leveraging Latent Space Directions for Runtime Backdoor Mitigation in Deep Neural Networks
Arxiv
0+阅读 · 2月11日
Transferable Backdoor Attacks for Code Models via Sharpness-Aware Adversarial Perturbation
Arxiv
0+阅读 · 2月11日
BEAT: Visual Backdoor Attacks on VLM-based Embodied Agents via Contrastive Trigger Learning
Arxiv
0+阅读 · 2月6日
Inference-Time Backdoors via Hidden Instructions in LLM Chat Templates
Arxiv
0+阅读 · 2月4日
DF-LoGiT: Data-Free Logic-Gated Backdoor Attacks in Vision Transformers
Arxiv
0+阅读 · 2月3日
Concept-Based Dictionary Learning for Inference-Time Safety in Vision Language Action Models
Arxiv
0+阅读 · 2月2日
LaST$_{0}$: Latent Spatio-Temporal Chain-of-Thought for Robotic Vision-Language-Action Model
Arxiv
0+阅读 · 2月2日
Unmasking Backdoors: An Explainable Defense via Gradient-Attention Anomaly Scoring for Pre-trained Language Models
Arxiv
0+阅读 · 1月30日
ReViP: Reducing False Completion in Vision-Language-Action Models with Vision-Proprioception Rebalance
Arxiv
0+阅读 · 1月23日
SilentDrift: Exploiting Action Chunking for Stealthy Backdoor Attacks on Vision-Language-Action Models
Arxiv
0+阅读 · 1月20日
相关基金
融合人脑意图与力觉反馈的外骨骼机器人步态控制CPG模型及调节方法
国家自然科学基金
0+阅读 · 2015年12月31日
改进智能优化策略多机动目标跟踪方法研究
国家自然科学基金
17+阅读 · 2015年12月31日
人类视空间分类的神经机制
国家自然科学基金
1+阅读 · 2015年12月31日
新视觉模型下非完整移动机器人同时镇定和跟踪控制研究
国家自然科学基金
0+阅读 · 2015年12月31日
深度学习框架下基于情境线索的视觉注意研究
国家自然科学基金
2+阅读 · 2015年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
基于深度学习的特征融合在移动机器人视觉中的场景理解及研究
国家自然科学基金
12+阅读 · 2014年12月31日
基于逆向强化学习和人工智能的移动机器人自主学习方法研究
国家自然科学基金
12+阅读 · 2013年12月31日
数据和模型混合驱动的虚拟人群行为仿真技术研究及其在军事中的应用
国家自然科学基金
10+阅读 · 2011年12月31日
强化学习关键技术及其在机器人行为学习中的应用
国家自然科学基金
23+阅读 · 2009年12月31日
Top
微信扫码咨询专知VIP会员
Top