文章导读
你是否想过,AI模型在学习海量网络数据时,可能正悄悄被植入“隐形后门”?武汉大学珞珈学子孙梦圆、李宇等人提出全新防御框架InverTune,无需依赖任何攻击先验信息,仅通过分析模型内部脆弱区域,就能精准识别并清除多模态模型中的后门。该方法可将攻击成功率暴降98%,且不损伤原有性能。这项颠覆性研究已入选网络安全“四大顶会”之一NDSS 2026,为AI安全落地打开新思路。
— 内容由好学术AI分析文章内容生成,仅供参考。
(通讯员网轩)近日,国家网络安全学院2021级本科生孙梦圆作为第一作者、李宇作为共同第一作者撰写的论文被国际会议NDSS(Network and Distributed System Security Symposium)2026录用。论文题目为“InverTune: A Backdoor Defense Method for Multimodal Contrastive Learning via Backdoor-Adversarial Correlation Analysis”(《InverTune: 一种基于反演调优的多模态对比学习后门防御方法》),由武汉数学与智能研究院博士后葛云洁(通讯作者)、国家网络安全学院教授王骞和计算机学院教授杜博指导。国家网络安全学院2023级博士生刘昱忱参与研究。
InverTune三阶段后门防御流程概览
多模态对比学习模型(如CLIP)已广泛应用于图像分类、跨模态检索等任务,但其训练过程中依赖大规模网络爬取数据,使其易被植入隐蔽后门触发器。现有防御方法通常依赖攻击信息,需要大量干净数据,或显著损伤模型性能。作者基于对后门模型内部表征的系统分析发现:后门会在跨模态嵌入空间中形成可被对抗扰动优先攻击的“脆弱区域”。据此,作者提出InverTune框架,在无需知道攻击标签和投毒数据的情况下,通过三步实现有效防御:首先利用通用对抗扰动(UniversalAdversarialPerturbations,UAP)模拟攻击行为,从输出分布异常中识别后门目标标签;随后通过梯度反演联合优化视觉与跨模态空间,重建功能等价的反演触发器;最后基于激活聚类,仅对受后门影响的关键神经元进行选择性微调,从而在保持模型正常语义对齐能力的同时彻底消除后门。实验结果表明,InverTune能将多种前沿攻击的平均攻击成功率降低约98%,并在此过程中保持模型在干净任务上的正常性能。该研究揭示了多模态对比学习后门的结构性特征,并提出了一种实用的防御新范式,对基础多模态模型的安全部署具有重要意义。
据悉,本届NDSS将于2026年2月23日至27日在美国加州圣地亚哥举办。NDSS自1993年首次举办,至今已有三十余年历史,与IEEE S&P、USENIX Security、ACM CCS并称为信息安全领域“四大顶级学术会议”,也是中国计算机学会(CCF)推荐的A类会议。NDSS往届平均录用率约为17%,录用论文代表着网络安全领域的最前沿学术研究成果。
(供图:国家网络安全学院 编辑:相茹)
© 版权声明
本文由分享者转载或发布,内容仅供学习和交流,版权归原文作者所有。如有侵权,请留言联系更正或删除。
相关文章
这篇论文的防御思路很新颖啊,居然想到用对抗扰动来反推后门,之前好像没看到类似的方法🤔
武大本科生能发NDSS太牛了!珞珈山又出人才了👍