【论文阅读】ICCV 2023 || On the Adversarial Robustness of Multi-Modal Foundation Models

已于 2023-09-15 22:07:45 修改
阅读量395 收藏 4
点赞数 2
文章标签: 论文阅读 机器学习 计算机视觉 深度学习 人工智能
于 2023-09-15 22:07:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45822394/article/details/132912002
版权

On the Adversarial Robustness of Multi-Modal Foundation Models 

 论文地址:https://arxiv.org/abs/2308.10741

目录

On the Adversarial Robustness of Multi-Modal Foundation Models 

Abstract

Flamingo

Motivation

 Adversarial attack on OpenFlamingo

Untargeted attack

Targeted attack

Experiments

这篇文章是对结合视觉和语言的多模态基础模型的鲁棒性研究,它主要是研究对Flamingo这个多模态大语言模型的攻击。

Abstract

结合视觉和语言模型的多模态基础模型,如Flamingo或GPT-4,最近获得了极大的兴趣。基础模型的对齐用于防止模型提供有毒或有害的输出。虽然恶意用户已经成功地尝试越狱基础模型,但一个同样重要的问题是,诚实的用户是否会受到恶意第三方内容的伤害。在本文中,我们证明了为了改变多模态基础模型的标题输出而对图像进行的不可感知攻击(ε∞= 1/255)可以被恶意内容提供者用来伤害诚实用户,例如通过引导他们到恶意网站或广播虚假信息。这表明任何部署的多模态基础模型都应该使用对抗性攻击的对策。注:本文包含虚假信息,以说明我们攻击的结果。这并不反映作者的观点。

Flamingo

Flamingo这个多模态大语言模型利用了两个互补的预训练好的模型:一个可以感知视觉场景的视觉模型和一个执行基本推理的大型语言模型。

Flamingo模型共包含4个部分:预训练好的LM和Vision Encoder,以及新引入的感知器重采样器Perceiver Resampler和门交叉注意力密集层GATED XATTN-DENSE layers,训练过程前两个部分是冻结的,只有后两个模块是训练的。

模型将交错的图像和文本组成作为提示输入,然后来预测下一个文本输出。 首先是对输入的图片处理,输入到vision encoder中得到视觉特征。 然后引入了一个Perceiver Resampler模块,它将Vision Encoder提取的特征和预定义固定长度的latent queries作为输入,通过attention来得到固定长度的视觉特征。这样做的好处就是能把原来不同长度的视觉特征输出为统一长度,并且能降低后续计算的复杂度(KV:学习到的潜在向量与视觉特征的拼接)。然后利用GATED XATTN-DENSE layers来将视觉特征嵌入语言模型中,还是利用attention机制,视觉特征当作K和V,把文本当作Q。此外gated cross-attention dense模块使用了tanh-gating机制,用tanh(a)乘以文本和视觉模态cross-attention后的输出。a初始化为0。因此,在初始化时,模型输出与预训练LM的输出一致,提高了训练稳定性和最终性能。

最终给定图像x的标题文本y的可能性建模为上式这种最大似然估计的形式。 其中yl为输入的第l个文本标记,x<l和y<l分别为背景图像和背景文本。

 任务演示:

Flamingo 可以完成一些视觉语言任务,比如图像字幕任务和视觉问答任务

  • OpenFlamingo可以通过提供上下文图像和文本来对给定图像执行少样本推理 。
  • 也可以通过不提供任何上下文图像,而只提供描述一些假设图像的上下文文本,执行零样本推理。

Motivation

在Flamingo实现的这些任务中,如果攻击者对图片添加难以察觉的扰动,那么模型就可能输出攻击者想要的结果,散布虚假信息或有害内容。

 Adversarial attack on OpenFlamingo

Untargeted attack

给定模型的输入条件包括背景图片c和背景文本z(输出),一个查询图像q和真实标题y(输入),无目标攻击旨在最大化真实标题y的负对数似然,也就是使输出真实标题y的概率最小化。δq是对查询图像的扰动,δc是对上下文图像的扰动。ε是扰动限制。m是给定的上下文个数。

因为是白盒攻击,所以可以通过梯度反向传播,利用PGD攻击对图像添加扰动让它远离正确输出y 。 在进行实验攻击时可以只攻击查询图像不攻击上下文图像,也就是只对δq进行优化,把上下文图像的扰动限制εc设为 0。

Targeted attack

 对查询图像添加扰动,最小负化对数似然,希望输出目标token的概率最大化。

Experiments

 表一展示了攻击迭代次数与攻击效果的关系。CIDEr得分衡量真实标题和输出标题之间相似度(得分越低,攻击性越好)。 可以看到,对非目标攻击来说,迭代到100/500时效果就挺好了 而目标攻击则需要大量的迭代。

表二展示了对CoCo图像的目标攻击,分别对0次样本和4次样本设置下进行了实验(零样本:不提供任何上下文图像,而只提供描述一些假设图像的上下文文本)。 BLEU4得分衡量目标和输出标题之间相似度(得分越高,越接近目标,目标攻击越好)。

  • 可以看到对目标攻击来说,需要更大的扰动限制才能达到比较好的攻击效果。
  • 在4次样本设置下,当仅针对查询图像时,成功率明显较低,BLEU4得分也较小,当上下文图像也受到攻击时,效果更明好很多 。
  • 相对第一个目标来说,第二个目标一更长、更具挑战性,在扰动限制为1/255时攻击成功率和得分效果都很差。然而,使用ε = 4/255的扰动限制时,攻击再次变得更加有效。说明攻击的效果与目标的难度也有关 。

Doudou-82
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Multi-View_Subspace_Clustering_ICCV_2015_paper.pdf
01-09
Multi-View_Subspace_Clustering_ICCV_2015_paper.pdf
ICCV 2023)Parallax-Tolerant Unsupervised Deep Image Stitching
03-19
ICCV 2023)Parallax-Tolerant Unsupervised Deep Image Stitching
CVPR2020论文列表(中英对照)
dovings的博客
07-04 9139
CVPR论文列表,中英对照
探索Open Flamingo:机器学习框架的新星
gitblog_00051的博客
04-25 306
探索Open Flamingo:机器学习框架的新星 项目地址:https://gitcode.com/mlfoundations/open_flamingo Open Flamingo是一个新兴的开源机器学习框架,致力于提供一个高效、灵活且可扩展的平台,让数据科学家和AI开发者能够更轻松地构建和部署复杂的深度学习模型。该项目的目标是简化端到端的机器学习工作流,让模型开发变得更加透明和协作。 技术剖...
CVPR 2022 最新106篇论文分方向整理|包含目标检测、动作识别、图像处理等32个方向
极市平台的技术博客
03-18 7742
包含目标检测、图像处理、三维视觉、医学影像、视频检索等方向。
【CVPR2019】论文完整列表一
热门推荐
TomRen
06-11 1万+
CVPR 2019 Paper list[1-1000] CVPR2019 完整列表二 论文题目与链接 Finding Task-Relevant Features for Few-Shot Learning by Category Traversal Edge-Labeling Graph Neural Network for Few-Shot Learning G...
《Improving adversarial robustness via channel-wise activation suppressing》详细解读
red_guy的博客
11-26 920
本文从的方面发现了对抗样本具有如下特征:1.对抗样本的activation magnitudes高于自然样本。2.对抗样本比样本更能uniformly的activate channel。在我们的研究中,发现对抗训练解决了第一个问题**本文的想法:**基于Channel-wise Activation Suppressing (CAS)的方法压缩冗余的激活。
论文阅读】CVPR2023 || Adversarial Attack with Raindrops
qq_45822394的博客
04-21 1191
众所周知,深度神经网络(DNN)容易受到对抗样本的攻击,这些对抗样本通常是人为设计来欺骗DNN的,但在现实世界中很少存在。在本文中,我们研究了由雨滴引起的对抗样本,以证明存在大量的自然现象能够作为DNN的对抗性攻击者。此外,我们提出了一种新的方法来生成对抗雨滴,表示为AdvRD,使用生成对抗网络(GAN)技术来模拟自然雨滴。我们的AdvRD制作的图像看起来与现实世界的雨滴图像非常相似,在统计上接近真实雨滴图像的分布,更重要的是,它可以对最先进的DNN模型进行强烈的对抗攻击。
CVPR2023对抗攻击相关论文
qq_45822394的博客
04-21 2245
在各种计算机视觉应用中,现实世界的对抗性物理补丁被证明在妥协最先进的模型中是成功的。基于输入梯度或特征分析的现有防御已经被最近基于 GAN 的攻击所破坏,这些攻击会产生自然补丁。在本文中,我们提出了Jedi,这是一种针对对抗性补丁的新防御,它对现实补丁攻击具有弹性。Jedi从信息论的角度解决了补丁定位问题;利用两个新的思想:(1)利用熵分析改进了潜在斑块区域的识别:我们发现即使在自然斑块中,对抗斑块的熵也很高;(2)使用能够从高熵核中完成补丁区域的自编码器,提高了对抗性补丁的定位。
ICCV19_VQA-CTI:ICCV 19论文的回购
05-04
紧凑型三线性交互用于视觉问题解答-CTI 该存储库是用于视觉问题回答的紧凑型三线性交互的实现。 在视觉问题解答(VQA)中,答案与问题含义和视觉内容有很大的关联。 因此,为了有选择地利用图像,问题和答案信息,...
updown-baseline:Nocaps基准的基准模型,ICCV 2019论文“ nocaps
05-04
如果您认为此代码有用,请考虑引用我们的论文,提出原始模型的论文以及 (托管我们的评估服务器的平台)。 所有bibtex在可用。 使用说明 大量文档可在。 将其用作API参考,以浏览并建立在我们的代码之上。 结果 ...
ICCV2019论文合集
01-19
Exploring the Limitations of Behavior Cloning for Autonomous Driving 2.mp4 Liu_LPD-Net_3D_Point_Cloud_Learning_for_Large-Scale_Place_Recognition_and_ICCV_2019_paper Hu_Joint_Monocular_3D_Vehicle_...
【遇到的坑】代码复现—On Adversarial Robustness of Trajectory Prediction for Autonomous Vehicles
qq_41803631的博客
03-19 865
如果pip文档中的包中途出错,建议重新创建环境,不然会有包重复安装导致运行时出错。t出现问题的两个包单独用pip安装,torch选择自己电脑适配的,ncls需要去。4、修改后在Trajectron++的代码中,下载数据库并放到指定位置,接着根据官方指导,指定参数运行代码。3、克隆Trajectron++项目到本地后,按照README.md配置项目。错误原因1:python包或者模块引用的路径不对。错误原因2:包重复安装或者安装不正确。遇到的问题:ncls库配置问题(:修改成完整、正确的项目内路径。
[论文笔记]SELF-INSTRUCT
日积月累,天道酬勤
05-27 762
作者提出了SELF-INSTRUCT,一种通过利用预训练语言模型自我生成来改进模型遵循指令能力的框架。首先从语言模型中生成指令、输入和输出样本,然后过滤无效或相似的样本。最后微调原始模型。
论文阅读:scHybridBERT
dundunmm的博客
05-29 1200
图学习模型在单细胞RNA测序(scRNA-seq)数据的计算分析中受到了越来越多的关注。与传统的深度神经网络相比,图神经网络和语言模型通过从原始基因计数矩阵中提取图结构数据表现出了更优越的性能。现有的基于深度神经网络的聚类方法通常侧重于时间表达模式,而忽略了基因层面和细胞层面的内在交互,这可以被视为单细胞数据中的空间动态。在多视图建模框架下,基因–基因和细胞–细胞的交互能够提高细胞类型检测的性能。在本研究中,提取了时空嵌入和细胞图,以捕捉分子层面的空间动态。
PromptIR论文阅读笔记
最新发布
read, note and comment papers
05-30 318
MZUAI和IIAI在NIPS2023上的一篇论文,用prompt来编码degradation,然后用来guide restoration network,使得模型能够泛化到不同degradation types and levels,也就是说是一个模型一次训练能够应对多种degradation的unified model。 文章分析,对每种degradation都要train一个模型是compute-intensive and tedious process, and oftentimes impra
论文笔记《基于深度学习模型的药物-靶标结合亲和力预测》
weixin_46042619的博客
05-28 752
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。提示:以下是本篇文章正文内容,下面案例可供参考例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
【YOLOv10】2024年5月最新的YOLO系列模型Yolov10(论文阅读笔记) + 完整创新点说明 + 总结
静谧、淡雅
05-29 1015
2024年5月最新的YOLO系列模型Yolov10的论文阅读笔记
iccv2023+遥感
05-31
您想了解关于 ICCV2023 和遥感方面的内容吗?ICCV2023计算机视觉领域的国际会议,通常涵盖图像处理、机器学习人工智能等方面的内容。而遥感则是指通过卫星、飞机等远距离获取地球表面信息的技术和方法。这两者之间的联系可能是在遥感图像处理、遥感数据的深度学习、遥感图像与地理信息系统(GIS)的结合等方面。请问您有具体的问题或需求吗?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值