Otravný útok proti 3D Gaussovu rozstřikování

Nová výzkumná spolupráce mezi Singapurem a Čínou navrhla metodu útoku na populární metodu syntézy 3D Gaussovské rozstřikování (3DGS).

Nová metoda útoku využívá vytvořená zdrojová data k přetížení dostupné paměti GPU cílového systému a k tomu, aby byl trénink tak zdlouhavý, že potenciálně zneschopnil cílový server, což je ekvivalentní útoku denial-of-service (DOS). Zdroj: https://arxiv.org/pdf/2410.08190

Útok využívá vytvořené tréninkové obrázky takové složitosti, že pravděpodobně zahltí online službu, která uživatelům umožňuje vytvářet reprezentace 3DGS.

Tento přístup je usnadněn adaptivní povahou 3DGS, které je navrženo tak, aby přidalo tolik reprezentativních detailů, kolik zdrojové obrázky vyžadují pro realistické vykreslení. Metoda využívá jak složitost vytvořeného obrazu (textury), tak tvar (geometrie).

Útočnému systému „poison-splat“ napomáhá model proxy, který odhaduje a iteruje potenciál zdrojových obrázků za účelem přidání složitosti a instancí Gaussian Splat do modelu, dokud není hostitelský systém zahlcen.

Článek tvrdí, že online platformy – jako např LumaAI, Kiri, spline si polycam – stále více nabízejí 3DGS-as-a-service a že nová metoda útoku – s názvem Poison-Splat – je potenciálně schopen posunout algoritmus 3DGS směrem k „jeho nejhorší výpočetní složitost' na takových doménách a dokonce usnadnit útok denial-of-service (DOS).

Podle výzkumníků by 3DGS mohly být radikálně zranitelnější jiné online služby neurálního tréninku. Konvenční strojové učení tréninkové postupy nastavují parametry na začátku a poté fungují v rámci konstantní a relativně konzistentní úrovně využití zdrojů a spotřeby energie. Bez „elasticity“, kterou Gaussian Splat vyžaduje pro přiřazování instancí splat, je obtížné takové služby zacílit stejným způsobem.

Autoři dále poznamenávají, že poskytovatelé služeb se proti takovému útoku nemohou bránit omezením složitosti nebo hustoty modelu, protože by to při běžném používání ochromilo efektivitu služby.

Z nové práce vidíme, že hostitelský systém, který omezuje počet přiřazených Gaussových ploch, nemůže normálně fungovat, protože elasticita těchto parametrů je základní vlastností 3DGS.

Článek uvádí:

„Modely [3DGS] trénované za těchto obranných omezení fungují mnohem hůře ve srovnání s modely s neomezeným trénováním, zejména pokud jde o rekonstrukci detailů. K tomuto poklesu kvality dochází, protože 3DGS nedokáže automaticky rozlišit potřebné jemné detaily od otrávených textur.

„Naivní omezení počtu Gaussiánů přímo povede k tomu, že model nedokáže přesně rekonstruovat 3D scénu, což porušuje primární cíl poskytovatele služeb. Tato studie ukazuje, že pro ochranu systému a udržení kvality 3D rekonstrukcí pod naším útokem jsou nezbytné sofistikovanější obranné strategie.“

V testech se útok ukázal jako účinný jak ve scénáři volně bílé skříňky (kdy útočník zná zdroje oběti), tak v přístupu černé skříňky (kde útočník takové znalosti nemá).

Autoři se domnívají, že jejich práce představuje první metodu útoku proti 3DGS, a varují, že sektor výzkumu bezpečnosti neuronové syntézy není na tento druh přístupu připraven.

Jedno nový papír je s názvem Poison-splat: Výpočetní nákladový útok na 3D Gaussovské rozstřikování, a pochází od pěti autorů z National University of Singapore a Skywork AI v Pekingu.

Metoda

Autoři analyzovali, do jaké míry je počet Gaussových ploch (v podstatě trojrozměrné elipsoidní „pixely“) přiřazený k modelu v rámci kanálu 3DGS ovlivňuje výpočetní náklady na školení a vykreslování modelu.

Autoři studie odhalují jasnou korelaci mezi počtem přiřazených Gaussiánů a náklady na tréninkový čas a také využitím paměti GPU.

Číslo zcela vpravo na obrázku výše ukazuje jasný vztah mezi ostrostí obrazu a počtem přiřazených Gaussiánů. Čím ostřejší je obraz, tím více detailů je potřeba k vykreslení modelu 3DGS.

V novinách se píše *:

„[Zjistili jsme], že 3DGS má tendenci přiřazovat více Gaussiánů k objektům se složitějšími strukturami a nehladkými texturami, jak je kvantifikováno celkovým variačním skóre – metrikou hodnotící ostrost obrazu. Intuitivně, čím méně hladký je povrch 3D objektů, tím více Gaussovců model potřebuje k obnovení všech detailů z projekcí 2D obrazu.

„Nehladkost tedy může být dobrým popisem složitosti [Gaussovců]“

Naivní doostření obrázků však bude mít tendenci ovlivnit sémantickou integritu modelu 3DGS natolik, že útok by byl zřejmý v raných fázích.

Účinná otrava dat vyžaduje sofistikovanější přístup. Autoři přijali a proxy model způsob, kde jsou útočné obrazy optimalizovány v off-line modelu 3DGS vyvinutém a kontrolovaném útočníky.

Vlevo vidíme graf představující celkové náklady na výpočetní čas a obsazenost paměti GPU na datové sadě MIP-NeRF360 „místnosti“, demonstrující nativní výkon, naivní poruchy a data řízená proxy. Vpravo vidíme, že naivní narušení zdrojových obrázků (červená) vede k rychle katastrofickým výsledkům příliš brzy v procesu. Naproti tomu vidíme, že zdrojové obrázky naváděné pomocí proxy udržují tajnější a kumulativní metodu útoku.

Autoři uvádějí:

„Je evidentní, že proxy model může být veden od nehladkosti 2D obrázků k vytvoření vysoce komplexních 3D tvarů.

"V důsledku toho mohou otrávená data vytvořená projekcí tohoto příliš zhuštěného proxy modelu produkovat více otrávených dat, což přiměje více Gaussianů, aby se vešli do těchto otrávených dat."

Systém útoků je omezen Google/Facebookem z roku 2013 spolupráce s různými univerzitami, takže poruchy zůstávají v mezích navržených tak, aby umožnily systému způsobit poškození, aniž by to ovlivnilo vytvoření obrazu 3DGS, což by byl časný signál invaze.

Data a testy

Výzkumníci testovali jed proti třem souborům dat: NeRF-Synthetic; Mip-NeRF360A Tanky-a-chrámy.

Používali oficiální provedení 3DGS jako prostředí oběti. Pro přístup černé skříňky použili Lešení-GS rámec.

Testy byly provedeny na GPU NVIDIA A800-SXM4-80G.

U metrik byl primárním ukazatelem počet vytvořených Gaussových ploch, protože záměrem je vytvořit zdrojové obrázky navržené tak, aby maximalizovaly a překonaly racionální odvození zdrojových dat. Zohledněna byla také rychlost vykreslování systému cílové oběti.

Výsledky počátečních testů jsou uvedeny níže:

Úplné výsledky testovacích útoků napříč třemi datovými sadami. Autoři poznamenávají, že zdůraznili útoky, které úspěšně spotřebovávají více než 24 GB paměti. Pro lepší rozlišení se podívejte na zdrojový papír.

K těmto výsledkům autoři komentují:

„[Náš] útok Poison-splat demonstruje schopnost vytvořit obrovskou další výpočetní zátěž napříč více datovými sadami. I když jsou poruchy omezené v malém rozsahu při [omezeném] útoku, lze maximální paměť GPU zvýšit na více než 2krát, takže celkové maximální obsazení GPU je vyšší než 24 GB.

[V] reálném světě to může znamenat, že náš útok může vyžadovat více alokovatelných zdrojů, než mohou poskytnout běžné GPU stanice, např. RTX 3090, RTX 4090 a A5000. Kromě toho [tento] útok nejen výrazně zvyšuje využití paměti, ale také výrazně zpomaluje rychlost tréninku.

"Tato vlastnost by dále posílila útok, protože převážná obsazenost GPU bude trvat déle, než může trvat normální trénink, takže celková ztráta výpočetního výkonu bude vyšší."

Průběh modelu proxy ve scénáři omezeného i neomezeného útoku.

Testy proti Scaffold-GS (model černé skříňky) jsou uvedeny níže. Autoři uvádějí, že tyto výsledky naznačují, že jed-splat dobře zobecňuje na takto odlišnou architekturu (tj. na referenční implementaci).

Výsledky testů útoků černé skříňky na datové sady NeRF-Synthetic a MIP-NeRF360.

Autoři poznamenávají, že existuje jen velmi málo studií zaměřených na tento druh útoků zaměřených na zdroje v procesech odvození. Papír 2020 Útoky s energetickou latencí na neuronové sítě byl schopen identifikovat příklady dat, které spouštějí nadměrné aktivace neuronů, což vede k vysilující spotřebě energie a ke špatné latenci.

Útoky inference-time byly dále studovány v následujících pracích, jako např Zpomalení útoků na adaptivní multi-exitovou neuronovou síť odvození, Směrem k účinnosti Backdoor Injection, a pro jazykové modely a modely vize-jazyk (VLM), v NICGSlowDown, a Podrobné obrázky.

Proč investovat do čističky vzduchu?

Útok Poison-splat vyvinutý výzkumníky využívá základní zranitelnost v Gaussian Splatting – skutečnost, že přiřazuje složitost a hustotu Gaussovců podle materiálu, na kterém je trénován.

Papír z roku 2024 F-3DGS: Faktorizované souřadnice a reprezentace pro 3D Gaussovské stříkání již poznamenal, že svévolné přiřazení symbolů Gaussian Splatting je neefektivní metoda, která často také vytváří nadbytečné instance:

„[Tato] neefektivita pramení z přirozené neschopnosti 3DGS využít strukturální vzory nebo nadbytečnosti. Zjistili jsme, že 3DGS produkuje zbytečně velký počet Gaussiánů i pro reprezentaci jednoduchých geometrických struktur, jako jsou ploché povrchy.

"Navíc blízcí Gaussané někdy vykazují podobné vlastnosti, což naznačuje potenciál pro zvýšení efektivity odstraněním nadbytečných reprezentací."

Vzhledem k tomu, že omezení gaussovské generace podkopává kvalitu reprodukce v neútočných scénářích, rostoucí počet online poskytovatelů, kteří nabízejí 3DGS z dat nahraných uživateli, může potřebovat prostudovat charakteristiky zdrojových snímků, aby mohli určit signatury, které naznačují zlý úmysl.“

V každém případě autoři nové práce docházejí k závěru, že tváří v tvář typu útoku, který formulovali, budou pro online služby nezbytné sofistikovanější obranné metody.

* Můj převod inline citací autorů na hypertextové odkazy

Poprvé publikováno v pátek 11. října 2024