【多模态攻击】Set-level Guidance Attack: Boosting Adversarial Transferability of Vision-Language Pre-train

原文标题： Set-level Guidance Attack: Boosting Adversarial Transferability of Vision-Language Pre-training Models
原文代码： https://github.com/Zoky-2020/SGA
发布年度： 2023
发布期刊： ICCV

---

摘要

Vision-language pre-training (VLP) models have shown vulnerability to adversarial examples in multimodal tasks. Furthermore, malicious adversaries can be deliberately transferred to attack other black-box models. However, existing work has mainly focused on investigating white-box attacks. In this paper, we present the first study to investigate the adversarial transferability of recent VLP models. We observe that existing methods exhibit much lower transferability, compared to the strong attack performance in white-box settings. The transferability degradation is partly caused by the under-utilization of cross-modal interactions. Particularly, unlike unimodal learning, VLP models rely heavily on cross-modal interactions and the multimodal alignments are many-to-many, e.g., an image can be described in various natural languages. To this end, we propose a highly transferable Set-level Guidance Attack (SGA) that thoroughly leverages modality interactions and incorporates alignmentpreserving augmentation with cross-modal guidance. Experimental results demonstrate that SGA could generate adversarial examples that can strongly transfer across different VLP models on multiple downstream vision-language tasks. On image-text retrieval, SGA significantly enhances the attack success rate for transfer attacks from ALBEF to TCL by a large margin (at least 9.78% and up to 30.21%), compared to the state-of-the-art.

---

背景

本文迈出了研究 VLP 模型内对抗性样本可迁移性的第一步，实验都是基于图像文本检索任务。
对于白盒任务来说，攻击两种模态（图像和文本）的对抗性可转移性始终优于攻击单模态数据（图像或文本）。然而，现有方法的攻击成功率在从白盒设置转移到黑盒设置时仍然显着下降。

从最近关注单模态数据单独攻击的研究来看 ，多模态对表现出内在的对齐和彼此的互补性。模态间对应的建模被证明是可转移性的关键问题。考虑到图像和文本之间的对齐是多对多的，例如，图像可以被描述为具有不同的人类视角和语言风格，可以通过其他模态中的多个标签的不同指导来确定合理的扰动方向。然而，最近的 VLP 模型的对抗性攻击方法通常采用单个图像-文本对来生成对抗性样本。尽管它们在白盒设置中表现出很强的性能，但引导的多样性较差使得对抗性样本与白盒模型的对齐模式高度相关，因此阻碍了对黑盒设置的泛化。

创新点

为了解决弱可迁移性问题，本文提出了集合级引导攻击（SGA），它利用多个图像文本对之间的多种跨模式交互（图 2）。具体来说，我们引入了对齐保留增强（alignment-preserving augmentation），它丰富了图像-文本对，同时保持其对齐完整。图像增强是基于深度学习模型的尺度不变特性，因此我们可以构造多尺度图像来增加多样性。对于文本增强，我们从数据集中选择最匹配的标题对。更重要的是，SGA 通过精心设计的跨模态指导生成多模态增强输入数据的对抗性示例。具体来说，SGA 迭代地在两种模态之间推送补充信息，并用另一种模态作为监督来破坏交互，从而获得更好的和谐扰动。请注意，所得的对抗性样本可以感知源自多个指导的梯度。

模型

可转移性分析

1. 实验

首先作者观察了VLP 模型的对抗性可转移性，探讨了现有方法的局限性。对抗性攻击图 3 和图 4 中的目标模型。观察结果总结如下：

• 攻击两种模态的对抗性可转移性始终比单独攻击任何单模态数据更有效。

• 对抗性多模态数据（即对抗性图像和文本）对源模型具有很强的攻击性能，但在转移到目标模型时很难保持相同的能力。

2. 对抗性例子的可迁移性下降主要是由于现有攻击方法的局限性：

• Sep-Attack 的一个主要限制是它没有考虑不同模态之间的相互作用。 Sep-Attack 中完全缺乏跨模式交互，严重限制了对抗性示例的泛化，并降低了它们在不同 VLP 模型之间的可迁移性。• 虽然 Co-Attack 旨在利用模式之间的协作来生成对抗性示例，但它仍然存在一个关键缺点，协同攻击仅使用单个图像-文本对来生成对抗性数据。多模态学习涉及具有多对多跨模态对齐的多种互补模态。跨模式指导缺乏多样性使得对抗性样本与白盒模型的对齐模式高度相关。因此，对抗性例子的通用性受到限制。

符号

令 (v, t) 表示从多模态数据集 D 采样的图像-文本对。对于 VLP 模型，我们将 fI 表示为图像编码器，将 fT 表示为文本编码器。融合VLP模型中的多模态融合模块用fM表示。具体来说，fI(v)表示以图像v为输入的fI编码的图像表示ev，fT(t)表示以文本t为输入的fT编码的文本表示et，fM(ev,et)表示多模态由 fM 编码的表示，将图像和文本表示作为输入。我们使用 B[v, εv] 和 B[t, εt] 分别表示优化对抗性图像和文本的合法搜索空间。具体来说，εv 表示图像的最大扰动界限，εt 表示标题中可更改单词的最大数量。

方法

1. 对齐的增强

第 3 节中提出的分析强调了现有方法的主要局限性：用于生成对抗性示例的跨模式信息缺乏多样性。该限制将使生成的对抗性示例无法推广到其他具有较强攻击性能的黑盒模型，从而导致对抗性可迁移性有限。

为了在生成可概括的对抗性示例时注入更多多样性，我们建议使用集合级对齐保留增强来扩展多模态输入空间，同时保持跨模态对齐完好无损。与之前仅考虑单个图像-文本配对示例（v，t）来生成对抗性数据的方法不同，我们将输入扩大到一组图像和标题级别。

从数据集中挑选最合适的描述对，以形成增强的描述集 t = {t1, t2, …, tM }，并将每个图像 v 的大小调整为不同的尺度 S = {s1, s2 , …, sN } 然后添加高斯噪声，根据尺度不变性得到多尺度图像集 v = {v1, v2, …, vN } 。然后使用扩大的输入集（v，t）来生成对抗性数据（v’，t’）。

2. Cross-modal Guidance

跨模态交互在多模态任务中发挥着至关重要的作用。同样，在对抗性攻击中，监督信息对于指导对抗性示例的搜索至关重要。为了充分利用扩大的保持对齐的多模态输入集（v，t）并进一步提高生成的对抗性数据的可转移性，我们提出了跨模态指导来利用不同模态的交互。

具体来说，我们使用来自另一种模态的配对信息作为监督来指导优化对抗性数据的方向。该指导反复推开多模态信息并破坏跨模态交互，以获得更好的和谐扰动。值得注意的是，由此产生的对抗性示例可以感知源自多个指导的梯度。

首先，我们为文本集合 t 中的所有字幕生成相应的对抗性字幕，形成对抗性字幕集 t′ = {t′1, t′2…, t′ M }。该过程可以表述为在embedding空间中与原始图像最不像同的文字，

接下来，通过求解生成对抗图像 v’，

其中 g(v’, si) 表示以图像 v’ 和比例系数 si 作为输入的调整大小函数。鼓励从 v’ 导出的所有缩放图像远离嵌入空间中的所有对抗性标题 t’ i。

最后，对抗性标题 t’ 生成如下，

其中鼓励 t’ 远离嵌入空间中的对抗图像 v’。

总结：利用原始图像得到初步的对抗文本，利用对抗文本生成对抗图像，再利用对抗图像生成最终对抗文本。

伪代码：

实验

• 转移性：

当集成了提高转移性的方法后，Co-Attack 在白盒设置中显着下降，而可转移性提升较小。而Sep-Attack 与基于转移的攻击相结合不仅降低了白盒攻击的有效性，而且无法提高几乎所有黑盒设置中的对抗性可转移性。

而本文提出的的SGA方法不仅仅在白盒和黑盒攻击上都有显著提升。

• 多模态融合模块

如表 3 所示，实验结果证明了我们提出的 SGA 在所有黑盒设置中都优于现有的多模式攻击方法。具体来说，当源模型和目标模型属于同一类型时，我们的 SGA 在对抗性可迁移性方面取得了显着改进。

• 模型架构

对于所有攻击方法，相同的对抗性多模态数据在 CLIPCNN 上比 CLIPViT 具有更强的白盒攻击效果。此外，发现在 CLIPViT 上生成的对抗性示例更容易转移到 CLIPCNN。

• 跨任务转移性

在表 4 中展示了受到攻击后 BLIP 的图像描述性能。在两个任务中，SGA的效果比其他两个攻击效果好。

• 消融实验

1. 多尺度图像集

因为使用多个尺度不变图像在 SGA 中生成不同的对抗数据。图 5 左侧以0.25为步长，探索不同数量的变化的可迁移性。当尺度范围设置为 [0.50, 1.50]，步长为 0.25 时达到峰值。

2. 标题对的数量

图 5 右侧面板中显示的结果表明，如果 M > 1，黑盒性能会显着提高，但最终会趋于稳定。这些结果证明了使用多重对齐保留的模态间信息来增强对抗性可转移性的有效性。此外，我们观察到性能对额外字幕的数量相对不敏感，但添加更多字幕可以提高整体对抗性可转移性。

结论