会员服务
攻击 · CLIP · ImageNet (数据集) · 微调 · 多模 ·
2 月 26 日
Dyslexify: A Mechanistic Defense Against Typographic Attacks in CLIP
翻译:Dyslexify:一种针对CLIP中排版攻击的机制性防御方法
Lorenz Hufe,Constantin Venhoff,Erblina Purelku,Maximilian Dreyer,Sebastian Lapuschkin,Wojciech Samek
Lorenz Hufe,Constantin Venhoff,Erblina Purelku,Maximilian Dreyer,Sebastian Lapuschkin,Wojciech Samek

Typographic attacks exploit multi-modal systems by injecting text into images, leading to targeted misclassifications, malicious content generation and even Vision-Language Model jailbreaks. In this work, we analyze how CLIP vision encoders behave under typographic attacks, locating specialized attention heads in the latter half of the model's layers that causally extract and transmit typographic information to the cls token. Building on these insights, we introduce Dyslexify - a method to defend CLIP models against typographic attacks by selectively ablating a typographic circuit, consisting of attention heads. Without requiring finetuning, dyslexify improves performance by up to 22.06% on a typographic variant of ImageNet-100, while reducing standard ImageNet-100 accuracy by less than 1%, and demonstrate its utility in a medical foundation model for skin lesion diagnosis. Notably, our training-free approach remains competitive with current state-of-the-art typographic defenses that rely on finetuning. To this end, we release a family of dyslexic CLIP models which are significantly more robust against typographic attacks. These models serve as suitable drop-in replacements for a broad range of safety-critical applications, where the risks of text-based manipulation outweigh the utility of text recognition.


翻译:排版攻击通过向图像中注入文本来利用多模态系统,导致定向错误分类、恶意内容生成甚至视觉语言模型越狱。本研究分析了CLIP视觉编码器在排版攻击下的行为机制,定位到模型后半部分层中存在专门提取排版信息并将其因果传递至cls标记的特定注意力头。基于这些发现,我们提出Dyslexify——一种通过选择性消融由注意力头构成的排版回路来防御CLIP模型免受排版攻击的方法。该方法无需微调,在ImageNet-100的排版变体数据集上性能提升最高达22.06%,同时标准ImageNet-100准确率下降不足1%,并在皮肤病变诊断的医学基础模型中验证了其有效性。值得注意的是,这种免训练方法与当前依赖微调的最先进排版防御技术相比仍具竞争力。为此,我们发布了一系列对排版攻击具有显著鲁棒性的Dyslexic CLIP模型。这些模型可作为即插即用的替代方案,广泛应用于文本识别效用低于文本操纵风险的安全关键领域。
0
下载
关闭预览

相关内容

大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
22+阅读 · 2025年4月28日
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
专知会员服务
25+阅读 · 2024年1月2日
【2023新书】网络安全中的对抗性深度学习:攻击分类,防御机制和学习理论
【2023新书】网络安全中的对抗性深度学习:攻击分类,防御机制和学习理论
专知会员服务
52+阅读 · 2023年3月16日
上海交大最新《标签高效深度分割》研究进展综述,全面阐述无监督、粗监督、不完全监督和噪声监督的深度分割方法
上海交大最新《标签高效深度分割》研究进展综述,全面阐述无监督、粗监督、不完全监督和噪声监督的深度分割方法
专知会员服务
42+阅读 · 2022年7月7日
【AI+军事】附论文 《敏感还是不敏感?如何攻击和捍卫文件安全分类模型》
【AI+军事】附论文 《敏感还是不敏感?如何攻击和捍卫文件安全分类模型》
专知会员服务
18+阅读 · 2022年4月26日
【AI系统安全】《对抗性(攻防)机器学习的系统方法》,42页pdf
【AI系统安全】《对抗性(攻防)机器学习的系统方法》,42页pdf
专知会员服务
44+阅读 · 2022年3月25日
深度生成模型如何对抗攻击?中国地大等《深度生成模型的对抗性攻击》综述全面阐述GAN和VAEs安全性和隐私保护
深度生成模型如何对抗攻击?中国地大等《深度生成模型的对抗性攻击》综述全面阐述GAN和VAEs安全性和隐私保护
专知会员服务
22+阅读 · 2021年12月3日
面向深度学习模型的对抗攻击与防御方法综述
专知会员服务
96+阅读 · 2021年1月17日
【DeepMind】无监督实体对齐,AlignNet: Unsupervised Entity Alignment
【DeepMind】无监督实体对齐,AlignNet: Unsupervised Entity Alignment
专知会员服务
21+阅读 · 2020年7月24日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知会员服务
80+阅读 · 2020年3月13日
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
AINLP
22+阅读 · 2020年11月29日
对抗攻击之利用水印生成对抗样本
对抗攻击之利用水印生成对抗样本
计算机视觉life
10+阅读 · 2020年9月27日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
【论文笔记】注意力机制的协同过滤模型 Attentive Collaborative Filtering(ACF)
【论文笔记】注意力机制的协同过滤模型 Attentive Collaborative Filtering(ACF)
专知
50+阅读 · 2019年9月23日
【对抗学习综述论文】-宾西法利亚大学-统计分类中的对抗性学习:对攻击防御的全面回顾
【对抗学习综述论文】-宾西法利亚大学-统计分类中的对抗性学习:对攻击防御的全面回顾
专知
23+阅读 · 2019年4月15日
基于深度学习的文本分类6大算法-原理、结构、论文、源码打包分享
基于深度学习的文本分类6大算法-原理、结构、论文、源码打包分享
深度学习与NLP
25+阅读 · 2018年7月18日
自然语言处理中的自注意力机制(Self-Attention Mechanism)
自然语言处理中的自注意力机制(Self-Attention Mechanism)
PaperWeekly
22+阅读 · 2018年3月28日
学界 | 综述论文:对抗攻击的12种攻击方法和15种防御方法
学界 | 综述论文:对抗攻击的12种攻击方法和15种防御方法
机器之心
15+阅读 · 2018年3月5日
【论文】所见所想所真,对抗学习GAN提升跨模态检索效果!阿里巴巴AI Labs等团队最新工作
【论文】所见所想所真,对抗学习GAN提升跨模态检索效果!阿里巴巴AI Labs等团队最新工作
专知
12+阅读 · 2017年12月21日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
基于程序多模态的动态软件水印方法研究
国家自然科学基金
0+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向时空特性的社交网络推演攻击与隐私保护关键技术研究
国家自然科学基金
4+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
融合稀疏层次模型的内容辨识研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于高维流形计算的混沌密码攻击方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
工件可拒绝的折衷排序和在线排序
国家自然科学基金
0+阅读 · 2014年12月31日
DistillGuard: Evaluating Defenses Against LLM Knowledge Distillation
Arxiv
0+阅读 · 3月8日
Towards Transferable Defense Against Malicious Image Edits
Arxiv
0+阅读 · 3月2日
AlignSentinel: Alignment-Aware Detection of Prompt Injection Attacks
Arxiv
0+阅读 · 2月21日
The Vulnerability of LLM Rankers to Prompt Injection Attacks
Arxiv
0+阅读 · 2月18日
Multi-Turn Adaptive Prompting Attack on Large Vision-Language Models
Arxiv
0+阅读 · 2月16日
FusionEdit: Semantic Fusion and Attention Modulation for Training-Free Image Editing
Arxiv
0+阅读 · 2月9日
Dashed Line Defense: Plug-And-Play Defense Against Adaptive Score-Based Query Attacks
Arxiv
0+阅读 · 2月9日
TrapSuffix: Proactive Defense Against Adversarial Suffixes in Jailbreaking
Arxiv
0+阅读 · 2月6日
WebSentinel: Detecting and Localizing Prompt Injection Attacks for Web Agents
Arxiv
0+阅读 · 2月3日
RANKVIDEO: Reasoning Reranking for Text-to-Video Retrieval
Arxiv
0+阅读 · 2月2日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
CLIP
ImageNet (数据集)
微调
多模
相关VIP内容
大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
22+阅读 · 2025年4月28日
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
专知会员服务
25+阅读 · 2024年1月2日
【2023新书】网络安全中的对抗性深度学习:攻击分类,防御机制和学习理论
【2023新书】网络安全中的对抗性深度学习:攻击分类,防御机制和学习理论
专知会员服务
52+阅读 · 2023年3月16日
上海交大最新《标签高效深度分割》研究进展综述,全面阐述无监督、粗监督、不完全监督和噪声监督的深度分割方法
上海交大最新《标签高效深度分割》研究进展综述,全面阐述无监督、粗监督、不完全监督和噪声监督的深度分割方法
专知会员服务
42+阅读 · 2022年7月7日
【AI+军事】附论文 《敏感还是不敏感?如何攻击和捍卫文件安全分类模型》
【AI+军事】附论文 《敏感还是不敏感?如何攻击和捍卫文件安全分类模型》
专知会员服务
18+阅读 · 2022年4月26日
【AI系统安全】《对抗性(攻防)机器学习的系统方法》,42页pdf
【AI系统安全】《对抗性(攻防)机器学习的系统方法》,42页pdf
专知会员服务
44+阅读 · 2022年3月25日
深度生成模型如何对抗攻击?中国地大等《深度生成模型的对抗性攻击》综述全面阐述GAN和VAEs安全性和隐私保护
深度生成模型如何对抗攻击?中国地大等《深度生成模型的对抗性攻击》综述全面阐述GAN和VAEs安全性和隐私保护
专知会员服务
22+阅读 · 2021年12月3日
面向深度学习模型的对抗攻击与防御方法综述
专知会员服务
96+阅读 · 2021年1月17日
【DeepMind】无监督实体对齐,AlignNet: Unsupervised Entity Alignment
【DeepMind】无监督实体对齐,AlignNet: Unsupervised Entity Alignment
专知会员服务
21+阅读 · 2020年7月24日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知会员服务
80+阅读 · 2020年3月13日
热门VIP内容
相关资讯
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
AINLP
22+阅读 · 2020年11月29日
对抗攻击之利用水印生成对抗样本
对抗攻击之利用水印生成对抗样本
计算机视觉life
10+阅读 · 2020年9月27日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
【论文笔记】注意力机制的协同过滤模型 Attentive Collaborative Filtering(ACF)
【论文笔记】注意力机制的协同过滤模型 Attentive Collaborative Filtering(ACF)
专知
50+阅读 · 2019年9月23日
【对抗学习综述论文】-宾西法利亚大学-统计分类中的对抗性学习:对攻击防御的全面回顾
【对抗学习综述论文】-宾西法利亚大学-统计分类中的对抗性学习:对攻击防御的全面回顾
专知
23+阅读 · 2019年4月15日
基于深度学习的文本分类6大算法-原理、结构、论文、源码打包分享
基于深度学习的文本分类6大算法-原理、结构、论文、源码打包分享
深度学习与NLP
25+阅读 · 2018年7月18日
自然语言处理中的自注意力机制(Self-Attention Mechanism)
自然语言处理中的自注意力机制(Self-Attention Mechanism)
PaperWeekly
22+阅读 · 2018年3月28日
学界 | 综述论文:对抗攻击的12种攻击方法和15种防御方法
学界 | 综述论文:对抗攻击的12种攻击方法和15种防御方法
机器之心
15+阅读 · 2018年3月5日
【论文】所见所想所真,对抗学习GAN提升跨模态检索效果!阿里巴巴AI Labs等团队最新工作
【论文】所见所想所真,对抗学习GAN提升跨模态检索效果!阿里巴巴AI Labs等团队最新工作
专知
12+阅读 · 2017年12月21日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
相关论文
DistillGuard: Evaluating Defenses Against LLM Knowledge Distillation
Arxiv
0+阅读 · 3月8日
Towards Transferable Defense Against Malicious Image Edits
Arxiv
0+阅读 · 3月2日
AlignSentinel: Alignment-Aware Detection of Prompt Injection Attacks
Arxiv
0+阅读 · 2月21日
The Vulnerability of LLM Rankers to Prompt Injection Attacks
Arxiv
0+阅读 · 2月18日
Multi-Turn Adaptive Prompting Attack on Large Vision-Language Models
Arxiv
0+阅读 · 2月16日
FusionEdit: Semantic Fusion and Attention Modulation for Training-Free Image Editing
Arxiv
0+阅读 · 2月9日
Dashed Line Defense: Plug-And-Play Defense Against Adaptive Score-Based Query Attacks
Arxiv
0+阅读 · 2月9日
TrapSuffix: Proactive Defense Against Adversarial Suffixes in Jailbreaking
Arxiv
0+阅读 · 2月6日
WebSentinel: Detecting and Localizing Prompt Injection Attacks for Web Agents
Arxiv
0+阅读 · 2月3日
RANKVIDEO: Reasoning Reranking for Text-to-Video Retrieval
Arxiv
0+阅读 · 2月2日
相关基金
基于程序多模态的动态软件水印方法研究
国家自然科学基金
0+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向时空特性的社交网络推演攻击与隐私保护关键技术研究
国家自然科学基金
4+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
融合稀疏层次模型的内容辨识研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于高维流形计算的混沌密码攻击方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
工件可拒绝的折衷排序和在线排序
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top