Một Cuộc Tấn Công Độc Đối Với 3D Gaussian Splatting

Một nghiên cứu hợp tác mới giữa Singapore và Trung Quốc đã đề xuất một phương pháp để tấn công phương pháp tổng hợp phổ biến 3D Gaussian Splatting (3DGS).

Phương pháp tấn công mới sử dụng dữ liệu nguồn được tạo ra để quá tải bộ nhớ GPU có sẵn của hệ thống mục tiêu, và để làm cho quá trình đào tạo trở nên dài dòng đến mức có thể làm tê liệt máy chủ mục tiêu, tương đương với một cuộc tấn công từ chối dịch vụ (DOS). Source: https://arxiv.org/pdf/2410.08190

Cuộc tấn công sử dụng hình ảnh đào tạo được tạo ra với độ phức tạp đến mức có thể làm quá tải một dịch vụ trực tuyến cho phép người dùng tạo ra các biểu diễn 3DGS.

Phương pháp này được tạo điều kiện bởi bản chất thích ứng của 3DGS, được thiết kế để thêm càng nhiều chi tiết biểu diễn càng tốt theo yêu cầu của hình ảnh nguồn để có một bản render thực tế.

Hệ thống tấn công ‘poison-splat’ được hỗ trợ bởi một mô hình proxy ước tính và lặp lại khả năng của hình ảnh nguồn để thêm phức tạp và các thể hiện Gaussian Splat vào một mô hình, cho đến khi hệ thống chủ bị quá tải.

Tài liệu khẳng định rằng các nền tảng trực tuyến – như LumaAI, KIRI, Spline và Polycam – đang ngày càng cung cấp 3DGS như một dịch vụ, và rằng phương pháp tấn công mới – có tên Poison-Splat – có khả năng đẩy thuật toán 3DGS đến ‘độ phức tạp tính toán tồi tệ nhất‘ trên các miền này, và thậm chí có thể tạo điều kiện cho một cuộc tấn công từ chối dịch vụ (DOS).

Theo các nhà nghiên cứu, 3DGS có thể dễ bị tổn thương hơn các dịch vụ đào tạo thần kinh trực tuyến khác. Các thủ tục đào tạo học máy thông thường đặt các tham số tại đầu, và sau đó hoạt động trong các mức sử dụng tài nguyên và tiêu thụ năng lượng tương đối nhất quán.

Hơn nữa, các tác giả lưu ý, các nhà cung cấp dịch vụ không thể bảo vệ chống lại một cuộc tấn công như vậy bằng cách hạn chế độ phức tạp hoặc mật độ của mô hình, vì điều này sẽ làm suy giảm hiệu quả của dịch vụ trong sử dụng bình thường.

Từ công việc mới, chúng ta thấy rằng một hệ thống chủ hạn chế số lượng Gaussian Splats được chỉ định không thể hoạt động bình thường, vì tính đàn hồi của các tham số này là một tính năng cơ bản của 3DGS.

Tài liệu tuyên bố:

‘[3DGS] các mô hình được đào tạo dưới các ràng buộc phòng thủ này thực hiện kém hơn so với những mô hình không bị ràng buộc, đặc biệt là về mặt tái tạo chi tiết. Sự suy giảm chất lượng này xảy ra vì 3DGS không thể tự động phân biệt các chi tiết cần thiết với các kết cấu bị nhiễm độc.

‘Naively capping số lượng Gaussians sẽ trực tiếp dẫn đến thất bại của mô hình trong việc tái tạo cảnh 3D một cách chính xác, điều này vi phạm mục tiêu chính của nhà cung cấp dịch vụ. Nghiên cứu này chứng minh rằng các chiến lược phòng thủ tinh vi hơn là cần thiết để bảo vệ hệ thống và duy trì chất lượng của các bản tái tạo 3D dưới cuộc tấn công của chúng.’

Trong các thử nghiệm, cuộc tấn công đã chứng minh hiệu quả cả trong kịch bản trắng hộp (trong đó kẻ tấn công có kiến thức về tài nguyên của nạn nhân) và cách tiếp cận hộp đen (trong đó kẻ tấn công không có kiến thức như vậy).

Các tác giả tin rằng công việc của họ đại diện cho phương pháp tấn công đầu tiên chống lại 3DGS, và cảnh báo rằng lĩnh vực nghiên cứu an ninh tổng hợp thần kinh không được chuẩn bị cho loại tiếp cận này.

Tài liệu mới có tiêu đề Poison-splat: Computation Cost Attack on 3D Gaussian Splatting, và đến từ năm tác giả tại Đại học Quốc gia Singapore và Skywork AI ở Bắc Kinh.

Phương Pháp

Các tác giả đã phân tích mức độ mà số lượng Gaussian Splats (thực chất là điểm ảnh ellipsoid ba chiều) được chỉ định cho một mô hình dưới một đường ống 3DGS ảnh hưởng đến chi phí tính toán của quá trình đào tạo và渲染 mô hình.

Nghiên cứu của các tác giả cho thấy mối tương quan rõ ràng giữa số lượng Gaussians được chỉ định và chi phí đào tạo, cũng như sử dụng bộ nhớ GPU.

Hình ảnh bên phải chỉ ra mối quan hệ rõ ràng giữa độ sắc nét của hình ảnh và số lượng Gaussians được chỉ định. Hình ảnh càng sắc nét, càng có nhiều chi tiết được yêu cầu để渲染 mô hình 3DGS.

Tài liệu tuyên bố*:

‘[Chúng tôi] tìm thấy rằng 3DGS có xu hướng chỉ định nhiều Gaussians hơn cho các đối tượng có cấu trúc phức tạp và kết cấu không mịn, như được lượng hóa bởi điểm số biến đổi tổng – một chỉ số đánh giá độ sắc nét của hình ảnh. Một cách trực quan, bề mặt của các đối tượng 3D càng không mịn, mô hình càng cần nhiều Gaussians để phục hồi tất cả các chi tiết từ các dự án hình ảnh 2D.

‘Do đó, không mịn có thể là một mô tả tốt về độ phức tạp của [Gaussians]’

Tuy nhiên, việc làm sắc nét hình ảnh một cách đơn giản sẽ có xu hướng ảnh hưởng đến tính toàn vẹn ngữ nghĩa của mô hình 3DGS đến mức mà một cuộc tấn công sẽ rõ ràng ngay từ giai đoạn đầu.

Độc dữ liệu một cách hiệu quả đòi hỏi một cách tiếp cận tinh vi hơn. Các tác giả đã áp dụng một mô hình proxy, trong đó các hình ảnh tấn công được tối ưu hóa trong một mô hình 3DGS ngoại tuyến được phát triển và kiểm soát bởi những kẻ tấn công.

Ở bên trái, chúng ta thấy một đồ thị đại diện cho tổng chi phí tính toán và chiếm dụng bộ nhớ GPU trên tập dữ liệu MIP-NeRF360 ‘phòng’, thể hiện hiệu suất bản địa, nhiễu loạn đơn giản và dữ liệu được dẫn dắt bởi proxy. Ở bên phải, chúng ta thấy rằng nhiễu loạn đơn giản của hình ảnh nguồn (đỏ) dẫn đến kết quả thảm họa quá sớm trong quá trình. Ngược lại, chúng ta thấy rằng hình ảnh nguồn được dẫn dắt bởi proxy duy trì một phương pháp tấn công tích lũy và tinh vi hơn.

Các tác giả tuyên bố:

‘Rõ ràng là mô hình proxy có thể được hướng dẫn từ sự không mịn của hình ảnh 2D để phát triển các hình dạng 3D phức tạp.

‘Do đó, dữ liệu bị nhiễm độc được tạo ra từ sự chiếu của mô hình proxy quá dày đặc này có thể tạo ra nhiều dữ liệu bị nhiễm độc hơn, gây ra nhiều Gaussians hơn để phù hợp với những dữ liệu bị nhiễm độc này.’

Hệ thống tấn công bị giới hạn bởi một hợp tác năm 2013 giữa Google/Facebook với các trường đại học khác nhau, để đảm bảo rằng các nhiễu loạn vẫn nằm trong giới hạn được thiết kế để cho phép hệ thống gây ra thiệt hại mà không ảnh hưởng đến việc tái tạo hình ảnh 3DGS, điều này sẽ là một tín hiệu sớm của một sự xâm nhập.

Dữ Liệu và Thử Nghiệm

Các nhà nghiên cứu đã thử nghiệm poison-splat chống lại ba tập dữ liệu: NeRF-Synthetic; Mip-NeRF360; và Tanks-and-Temples.

Họ đã sử dụng triển khai chính thức của 3DGS như một môi trường nạn nhân. Đối với một cách tiếp cận hộp đen, họ đã sử dụng khung Scaffold-GS.

Các thử nghiệm được thực hiện trên một GPU NVIDIA A800-SXM4-80G.

Đối với các chỉ số, số lượng Gaussian splats được tạo ra là chỉ số chính, vì mục đích là tạo ra hình ảnh nguồn được thiết kế để tối đa hóa và vượt quá suy luận hợp lý của dữ liệu nguồn. Tốc độ渲染 của hệ thống nạn nhân cũng được xem xét.

Kết quả của các thử nghiệm ban đầu được hiển thị dưới đây:

Kết quả đầy đủ của các cuộc tấn công thử nghiệm trên ba tập dữ liệu. Các tác giả quan sát rằng họ đã nhấn mạnh các cuộc tấn công thành công tiêu thụ hơn 24GB bộ nhớ. Vui lòng tham khảo tài liệu nguồn để có độ phân giải tốt hơn.

Về những kết quả này, các tác giả bình luận:

‘[Cuộc tấn công Poison-splat của chúng tôi] chứng minh khả năng tạo ra một gánh nặng tính toán khổng lồ trên nhiều tập dữ liệu. Ngay cả với các nhiễu loạn bị giới hạn trong một phạm vi nhỏ trong [một cuộc tấn công bị giới hạn], bộ nhớ GPU tối đa có thể tăng lên hơn 2 lần, khiến tổng chiếm dụng GPU cao hơn 24 GB.

‘Trong thế giới thực, điều này có thể có nghĩa là cuộc tấn công của chúng tôi có thể yêu cầu nhiều tài nguyên hơn so với các trạm GPU thông thường có thể cung cấp, ví dụ như RTX 3090, RTX 4090 và A5000. Hơn nữa [cuộc tấn công] không chỉ tăng đáng kể việc sử dụng bộ nhớ, mà còn làm chậm đáng kể tốc độ đào tạo.

‘Tính chất này sẽ làm cho cuộc tấn công mạnh hơn, vì việc chiếm dụng GPU quá mức sẽ kéo dài hơn so với thời gian đào tạo bình thường, khiến tổng tổn thất công suất tính toán cao hơn.’

Quá trình tiến hóa của mô hình proxy trong cả hai kịch bản tấn công bị giới hạn và không bị giới hạn.

Kết quả thử nghiệm trên Scaffold-GS (mô hình hộp đen) được hiển thị dưới đây. Các tác giả tuyên bố rằng những kết quả này cho thấy poison-splat tổng quát hóa tốt cho một kiến trúc khác (tức là triển khai tham chiếu).

Kết quả thử nghiệm cho các cuộc tấn công hộp đen trên NeRF-Synthetic và MIP-NeRF360.

Các tác giả lưu ý rằng đã có rất ít nghiên cứu tập trung vào loại tấn công này vào các quá trình suy luận. Bài báo năm 2020 Energy-Latency Attacks on Neural Networks đã có thể xác định các ví dụ dữ liệu kích hoạt các hoạt động neuron quá mức, dẫn đến tiêu thụ năng lượng và độ trễ kém.

Các cuộc tấn công thời gian suy luận được nghiên cứu thêm trong các công việc tiếp theo như Slowdown attacks on adaptive multi-exit neural network inference, Towards Efficiency Backdoor Injection, và, đối với các mô hình ngôn ngữ và mô hình ngôn ngữ-hình ảnh (VLMs), trong NICGSlowDown, và Verbose Images.

Kết Luận

Cuộc tấn công Poison-splat được các nhà nghiên cứu phát triển khai thác một điểm yếu cơ bản trong Gaussian Splatting – thực tế là nó chỉ định độ phức tạp và mật độ của Gaussians theo vật liệu được đào tạo.

Bài báo năm 2024 F-3DGS: Factorized Coordinates and Representations for 3D Gaussian Splatting đã quan sát rằng việc chỉ định splat tùy ý của Gaussian Splatting là một phương pháp không hiệu quả, thường cũng tạo ra các thể hiện dư thừa:

‘[Điều này] không hiệu quả bắt nguồn từ sự không thể của 3DGS trong việc sử dụng các mẫu cấu trúc hoặc dư thừa. Chúng tôi quan sát thấy rằng 3DGS tạo ra một số lượng Gaussians không cần thiết ngay cả đối với việc đại diện cho các cấu trúc hình học đơn giản, chẳng hạn như bề mặt phẳng.

‘Hơn nữa, các Gaussians gần nhau đôi khi thể hiện các thuộc tính tương tự, cho thấy tiềm năng tăng hiệu quả bằng cách loại bỏ các biểu diễn dư thừa.’

Vì việc hạn chế việc tạo Gaussian làm suy giảm chất lượng tái tạo trong các kịch bản không tấn công, ngày càng nhiều nhà cung cấp dịch vụ trực tuyến cung cấp 3DGS từ dữ liệu được người dùng tải lên có thể cần nghiên cứu các đặc征 của hình ảnh nguồn để xác định các chữ ký cho thấy một ý định độc hại.

Trong mọi trường hợp, các tác giả của công việc mới kết luận rằng các phương pháp phòng thủ tinh vi hơn sẽ là cần thiết cho các dịch vụ trực tuyến khi đối mặt với loại tấn công mà họ đã xây dựng.

* Sự chuyển đổi của tôi các trích dẫn nội dòng của tác giả thành các liên kết siêu văn bản

Được xuất bản lần đầu vào thứ Sáu, ngày 11 tháng 10 năm 2024