Vision Transformersにおけるバックドアの方向性

本文: arXiv:2603.10806v1 アナウンス種別: new 要旨: 本論文は、バックドア攻撃がVision Transformer (ViT) 内でどのように表現されるかを調査する。トリガーの知識を前提とすることにより、モデルの活性化における特定の「trigger direction（トリガー方向）」を特定し、それがトリガーの内部表現に対応することを明らかにする。活性化空間とパラメータ空間の両方で介入を行うことで、この線形方向の因果的役割を検証し、複数のデータセットと攻撃タイプにわたりバックドアの挙動を一貫して調整できることを示す。診断ツールとしてこの方向を用い、バックドア特徴が層を横断してどのように処理されるかを追跡する。分析は、静的パッチのトリガーとステルシーに分布するトリガーが異なる内部ロジックを持つという明確な質的差を明らかにする。さらに、バックドアと敵対的攻撃の関連を検討し、特にPGDベースの摂動が特定のトリガー機構を（再）活性化または非活性化できるかを検証する。最後に、データなし・重みに基づくステルシー・トリガー攻撃の検出スキームを提案する。我々の知見は、機械的解釈可能性がコンピュータビジョンのセキュリティ上の脆弱性を診断し対処するための堅牢なフレームワークを提供することを示している。