Connect with us

هجوم التسمم ضد تقنية الغاوسي سبلاتنج ثلاثية الأبعاد

الذكاء الاصطناعي

هجوم التسمم ضد تقنية الغاوسي سبلاتنج ثلاثية الأبعاد

mm
Published
Updated
An AI-generated image from ChatGPT-4o, with the prompt 'A panoramic and photorealistic image of a rack of servers that have been overloaded, with smoke coming out of them'.

تعاون بحثي جديد بين سنغافورة والصين قد اقترح طريقة للهجوم على طريقة التركيب الشهيرة الغاوسي سبلاتنج ثلاثية الأبعاد (3DGS).

تستخدم طريقة الهجوم الجديد بيانات مصدر محددة لتحميل الذاكرة المتاحة لجهاز الجرافيكس في النظام المستهدف، وجعل التدريب طويلاً لدرجة أن النظام المستهدف قد يتعطل، ما يعادل هجوم منع الخدمة (DOS).

تستخدم طريقة الهجوم الجديد بيانات مصدر محددة لتحميل الذاكرة المتاحة لجهاز الجرافيكس في النظام المستهدف، وجعل التدريب طويلاً لدرجة أن النظام المستهدف قد يتعطل، ما يعادل هجوم منع الخدمة (DOS). مصدر: https://arxiv.org/pdf/2410.08190

يستخدم الهجوم صورًا تدريبية محددة بدرجة من التعقيد التي من المرجح أن تثقل كاهل خدمة على الإنترنت تسمح للمستخدمين بإنشاء تمثيلات 3DGS.

تسهل هذه النهج الطبيعة التكيفية لتقنية الغاوسي سبلاتنج، التي صممت لإضافة تفاصيل تمثيلية حسب احتياجات الصور المصدر لتحقيق عرض واقعي.

تستخدم نظام الهجوم 'poison-splat' نموذج وكالة يقدر ويتكرر إمكانية الصور المصدر لإضافة تعقيد و实例ات غاوسي سبلاتنج إلى نموذج، حتى يتم تحميل النظام المستهدف.

تستخدم نظام الهجوم ‘poison-splat’ نموذج وكالة يقدر ويتكرر إمكانية الصور المصدر لإضافة تعقيد و实例ات غاوسي سبلاتنج إلى نموذج، حتى يتم تحميل النظام المستهدف.

يؤكد البحث أن المنصات على الإنترنت – مثل LumaAI وKIRI وSpline وPolycam – تقدم بشكل متزايد 3DGS كخدمة، وأن طريقة الهجوم الجديد – التي تحمل عنوان Poison-Splat – قادرة بشكل محتمل على دفع خوارزمية 3DGS نحو ‘أسوأ تعقيد حسابي‘ في هذه المجالات، وأيضًا تسهيل هجوم منع الخدمة (DOS).

وفقًا للباحثين، قد تكون تقنية الغاوسي سبلاتنج أكثر عرضة للهجوم من خدمات التدريب العصبي الأخرى على الإنترنت. إجراءات التدريب التقليدية لتعلم الآلة تحدد المعلمات في البداية، وتعمل بعد ذلك في مستويات استخدام الموارد والاستهلاك القوي المتسقة.

علاوة على ذلك، يشير المؤلفون إلى أن مقدمي الخدمات لا يستطيعون الدفاع ضد هذا الهجوم عن طريق تحديد تعقيد أو كثافة النموذج، لأن هذا سوف يؤدي إلى تعطيل فعالية الخدمة في الاستخدام العادي.

من العمل الجديد، نرى أن نظامًا يستضيف الذي يقيد عدد الغاوسي سبلات المحددة لا يمكنه العمل بشكل طبيعي، لأن مرونة هذه المعلمات هي ميزة أساسية لتقنية الغاوسي سبلاتنج.

من العمل الجديد، نرى أن نظامًا يستضيف الذي يقيد عدد الغاوسي سبلات المحددة لا يمكنه العمل بشكل طبيعي، لأن مرونة هذه المعلمات هي ميزة أساسية لتقنية الغاوسي سبلاتنج.

يذكر البحث:

‘[3DGS] النماذج المتدربة في ظل هذه القيود الدفاعية تؤدي أداء أسوأ مقارنة بتلك التي يتم تدريبها بدون قيود، خاصة فيما يتعلق بتركيب التفاصيل. يحدث هذا الانخفاض في الجودة لأن 3DGS لا يمكنه التمييز تلقائيًا بين التفاصيل الضرورية والtextures المسمومة.

‘القيود البسيطة على عدد الغاوسيات سوف تؤدي مباشرة إلى فشل النموذج في إعادة بناء المشهد ثلاثي الأبعاد بدقة، مما ي違 مع 목ف الخدمة. هذا البحث يظهر أن استراتيجيات دفاعية أكثر تعقيدًا ضرورية لحماية النظام والحفاظ على جودة إعادة البناء ثلاثي الأبعاد في ظل هجومنا.’

في الاختبارات، أثبت الهجوم فعاليته في كل من سيناريوهات البيضاء وال سوداء.

يعتقد المؤلفون أن عملهم يمثل أول طريقة هجوم ضد 3DGS، وينبهون إلى أن قطاع أبحاث أمان التركيب العصبي غير مستعد لهذا النوع من الهجوم.

الورقة الجديدة تحمل عنوان Poison-splat: هجوم على تكلفة الحساب لتقنية الغاوسي سبلاتنج ثلاثية الأبعاد، وهي تأتي من خمسة مؤلفين في جامعة سنغافورة الوطنية وSkywork AI في بكين.

الطريقة

قام المؤلفون بتحليل مدى تأثير عدد الغاوسيات المحددة (أي الأسطوانات ثلاثية الأبعاد ‘بكسل’) المخصصة لنماذج في трубة 3DGS على تكاليف الحساب لتدريب وتركيب النموذج.

دراسة المؤلفين تكشف عن علاقة واضحة بين عدد الغاوسيات المحددة وتكلفة وقت التدريب، بالإضافة إلى استخدام الذاكرة الجرافيكسية.

دراسة المؤلفين تكشف عن علاقة واضحة بين عدد الغاوسيات المحددة وتكلفة وقت التدريب، بالإضافة إلى استخدام الذاكرة الجرافيكسية.

يذكر البحث:

‘[نحن] نجد أن 3DGS تميل إلى تحديد المزيد من الغاوسيات للأجسام ذات الهياكل المعقدة والtextures الغير سلسة، حسب درجة التباين الكلية – مقياس يقييم وضوح الصورة. بشكل直، كلما كانت السطح أقل سلاسة، زادت الغاوسيات التي يحتاجها النموذج لاستعادة جميع التفاصيل من مشاريع الصور ثنائية الأبعاد.

‘هence، الغير سلاسة يمكن أن تكون وصف جيد للتعقيد [الغاوسيات]’

然而، تحسين الصور ببساطة سوف يؤثر على سلامة الصورة ثلاثية الأبعاد لدرجة أن الهجوم سوف يكون واضحًا في المراحل الأولى.

تسميم البيانات بشكل فعال يتطلب نهجًا أكثر تعقيدًا. قام المؤلفون بتبني طريقة نموذج وكالة، حيث يتم تحسين الصور الهجومية في نموذج 3DGS محلي غير متصل تم تطويره وسيطرته المهاجمين.

على اليسار، نرى مخططًا يمثل التكلفة الإجمالية لزمن الحساب واشغال الذاكرة الجرافيكسية على مجموعة بيانات MIP-NeRF360 'الغرفة'، مما يظهر الأداء الأصلي، والاضطراب البسيط، والبيانات الموجهة بواسطة الوكالة. على اليمين، نرى أن الاضطراب البسيط للصور المصدر (الأحمر) يؤدي إلى نتائج مدمرة مبكرًا في العملية. بالمقابل، نرى أن الصور المصدر الموجهة بواسطة الوكالة تحتفظ بطريقة هجوم أكثر خفية وتراكمية.

على اليسار، نرى مخططًا يمثل التكلفة الإجمالية لزمن الحساب واشغال الذاكرة الجرافيكسية على مجموعة بيانات MIP-NeRF360 ‘الغرفة’، مما يظهر الأداء الأصلي، والاضطراب البسيط، والبيانات الموجهة بواسطة الوكالة. على اليمين، نرى أن الاضطراب البسيط للصور المصدر (الأحمر) يؤدي إلى نتائج مدمرة مبكرًا في العملية. بالمقابل، نرى أن الصور المصدر الموجهة بواسطة الوكالة تحتفظ بطريقة هجوم أكثر خفية وتراكمية.

يذكر البحث:

‘من الواضح أن نموذج الوكالة يمكن توجيهه من الغير سلاسة في الصور ثنائية الأبعاد لتطوير أشكال ثلاثية الأبعاد معقدة.

‘بالتالي، البيانات المسمومة التي تنتج من مشروع نموذج الوكالة المكتظ يمكن أن تنتج المزيد من البيانات المسمومة، مما يؤدي إلى المزيد من الغاوسيات لتلبية هذه البيانات المسمومة.’

البيانات والاختبارات

قام الباحثون بتحليل الهجوم ضد ثلاث مجموعات بيانات: NeRF-Synthetic وMip-NeRF360 وTanks-and-Temples.

استخدموا التطبيق الرسمي لتقنية الغاوسي سبلاتنج كبيئة ضحية. لنهج السوداء، استخدموا إطار Scaffold-GS.

أجريت الاختبارات على وحدة معالجة رسومات NVIDIA A800-SXM4-80G.

对于 معايير، كان عدد الغاوسيات المحددة هو المؤشر الرئيسي، لأن النية هي صياغة صور مصدر مصممة لزيادة وتجاوز الاستدلال العقلاني للبيانات المصدر. كما تم النظر في سرعة تركيب نظام الضحية.

نتائج الاختبارات الأولية موضحة أدناه:

نتائج اختبارات الهجوم الأولية عبر ثلاث مجموعات بيانات. يشير المؤلفون إلى أنهم قد أشارت إلى هجمات ناجحة استهلكت أكثر من 24 جيجابايت من الذاكرة. يرجى الرجوع إلى الورقة المصدر للوصول إلى دقة أفضل.

نتائج اختبارات الهجوم الأولية عبر ثلاث مجموعات بيانات. يشير المؤلفون إلى أنهم قد أشارت إلى هجمات ناجحة استهلكت أكثر من 24 جيجابايت من الذاكرة. يرجى الرجوع إلى الورقة المصدر للوصول إلى دقة أفضل.

الاستنتاج

هجوم Poison-splat الذي طوره الباحثون يستغل ضعفًا أساسيًا في تقنية الغاوسي سبلاتنج – حقيقة أنها تخصيص تعقيد وكثافة الغاوسيات وفقًا للمادة التي يتم تدريبها عليها.

الورقة البحثية F-3DGS: Factors and Representations for 3D Gaussian Splatting عام 2024 لاحظت أن تقنية الغاوسي سبلاتنج تخصيص الغاوسيات بشكل عشوائي هو نهج غير فعال، والذي ينتج في كثير من الأحيان مثيلات زائدة:

‘[هذا] عدم الكفاءة يأتي من عدم القدرة الداخلية لتقنية الغاوسي سبلاتنج على استخدام الأنماط الهيكلية أو التكرارات. لاحظنا أن 3DGS ينتج عددًا كبيرًا من الغاوسيات حتى لمواد بسيطة، مثل السطوح المسطحة.

‘علاوة على ذلك، الغاوسيات القريبة أحيانًا تظهر سمات متشابهة، مما يشير إلى إمكانية تحسين الكفاءة عن طريق إزالة التمثيلات الزائدة.’

منذ أن تقييد توليد الغاوسيات يضر بجودة التكرار في سيناريوهات غير الهجوم، قد تحتاج مقدمو الخدمات الذين يقدمون 3DGS من بيانات المستخدمين إلى دراسة خصائص الصور المصدر لتحديد التوقيعات التي تشير إلى نية خبيثة.

في أي حال، يخلص المؤلفون إلى أن أساليب دفاع أكثر تعقيدًا ستكون ضرورية للخدمات على الإنترنت في مواجهة نوع الهجوم الذي صاغوه.

 

* تحويلي للتعليقات الداخلية للمؤلفين إلى روابط

نشر لأول مرة يوم الجمعة، 11 أكتوبر 2024

Related Topics:
mm

كاتب في تعلم الآلة، متخصص في مجال 합성 الصور البشرية. السابق رئيس محتوى البحث في Metaphysic.ai.
الsite الشخصي: martinanderson.ai
التواصل: [email protected]
تويتر: @manders_ai