Attaques par porte dérobée visuelle sur la prise de décision incarnée des MLLM via l'apprentissage de déclencheurs par contraste
Visual Backdoor Attacks on MLLM Embodied Decision Making via Contrastive Trigger Learning
October 31, 2025
papers.authors: Qiusi Zhan, Hyeonjeong Ha, Rui Yang, Sirui Xu, Hanyang Chen, Liang-Yan Gui, Yu-Xiong Wang, Huan Zhang, Heng Ji, Daniel Kang
cs.AI
papers.abstract
Les modèles de langage multimodaux (MLLM) ont fait progresser les agents incarnés en permettant la perception directe, le raisonnement et la planification d'actions orientées tâches à partir d'entrées visuelles. Cependant, ces agents incarnés pilotés par la vision ouvrent une nouvelle surface d'attaque : les attaques par porte dérobée visuelle, où l'agent se comporte normalement jusqu'à ce qu'un déclencheur visuel apparaisse dans la scène, puis exécute persistamment une politique en plusieurs étapes spécifiée par l'attaquant. Nous présentons BEAT, le premier cadre pour injecter de telles portes dérobées visuelles dans les agents incarnés basés sur les MLLM en utilisant les objets de l'environnement comme déclencheurs. Contrairement aux déclencheurs textuels, les déclencheurs objets présentent de grandes variations selon les points de vue et l'éclairage, ce qui les rend difficiles à implanter de manière fiable. BEAT relève ce défi en (1) construisant un ensemble d'entraînement couvrant diverses scènes, tâches et positions de déclencheurs pour exposer les agents à la variabilité des déclencheurs, et (2) introduisant un schéma d'entraînement en deux étapes qui applique d'abord un réglage fin supervisé (SFT), puis notre nouvelle méthode d'apprentissage par contraste des déclencheurs (CTL). Le CTL formule la discrimination des déclencheurs comme un apprentissage de préférence entre les entrées avec et sans déclencheur, affinant explicitement les frontières de décision pour garantir une activation précise de la porte dérobée. Sur diverses benchmarks d'agents incarnés et de MLLM, BEAT atteint des taux de réussite d'attaque allant jusqu'à 80%, tout en maintenant de solides performances sur les tâches bénignes, et généralise de manière fiable à des positions de déclencheurs hors distribution. Notamment, comparé au SFT naïf, le CTL améliore la précision d'activation de la porte dérobée jusqu'à 39% avec des données de porte dérobée limitées. Ces résultats révèlent un risque de sécurité critique et inexploré dans les agents incarnés basés sur les MLLM, soulignant la nécessité de défenses robustes avant un déploiement réel.
English
Multimodal large language models (MLLMs) have advanced embodied agents by
enabling direct perception, reasoning, and planning task-oriented actions from
visual inputs. However, such vision driven embodied agents open a new attack
surface: visual backdoor attacks, where the agent behaves normally until a
visual trigger appears in the scene, then persistently executes an
attacker-specified multi-step policy. We introduce BEAT, the first framework to
inject such visual backdoors into MLLM-based embodied agents using objects in
the environments as triggers. Unlike textual triggers, object triggers exhibit
wide variation across viewpoints and lighting, making them difficult to implant
reliably. BEAT addresses this challenge by (1) constructing a training set that
spans diverse scenes, tasks, and trigger placements to expose agents to trigger
variability, and (2) introducing a two-stage training scheme that first applies
supervised fine-tuning (SFT) and then our novel Contrastive Trigger Learning
(CTL). CTL formulates trigger discrimination as preference learning between
trigger-present and trigger-free inputs, explicitly sharpening the decision
boundaries to ensure precise backdoor activation. Across various embodied agent
benchmarks and MLLMs, BEAT achieves attack success rates up to 80%, while
maintaining strong benign task performance, and generalizes reliably to
out-of-distribution trigger placements. Notably, compared to naive SFT, CTL
boosts backdoor activation accuracy up to 39% under limited backdoor data.
These findings expose a critical yet unexplored security risk in MLLM-based
embodied agents, underscoring the need for robust defenses before real-world
deployment.