Generalização em nível de token em backdoors de adaptadores LoRA: Caracterização de ataques e detecção comportamental

Resumo

Mostramos que adaptadores LoRA, o formato de distribuição dominante para LLMs afinados, podem ser adulterados de forma confiável por meio de envenenamento dos dados de treinamento, preservando o desempenho da tarefa base. Em um classificador de injeção de prompt Qwen 2.5 1.5B, uma pequena fração de exemplos envenenados leva a saturação de uma backdoor que preserva a acurácia limpa. A backdoor resultante generaliza no nível dos traços dos tokens, e não no nível do padrão estrutural: um modelo treinado em uma referência RFC ativa com qualquer referência RFC, mas não transfere para citações estruturalmente idênticas de ISO, OWASP, CWE ou NIST. Essa assimetria favorece o atacante, já que um defensor não pode sondar por "citações estruturadas" de forma genérica. Caracterizamos o ataque em diferentes escalas e famílias de modelo base, rank LoRA e string de gatilho, e avaliamos duas rotas de detecção complementares em uma coorte de adaptadores com múltiplas sementes. Um detector comportamental construído a partir de duas estatísticas de bateria de sondagem, outlier_gap e mean_attack_rate, separa perfeitamente os adaptadores envenenados dos limpos quando a bateria cobre a vizinhança do token do gatilho, e com alta revocação e zero falsos positivos quando não cobre. Uma estatística ao nível dos pesos, o desvio padrão entre módulos das normas de Frobenius normalizadas por dimensão, também separa a coorte perfeitamente sem executar o modelo. Combinadas, as duas rotas são robustas à composição da sonda. O patching causal localiza a backdoor no bloco MLP das camadas intermediárias a finais, com down_proj como a causa mais forte entre as projeções individuais. Replicações em diferentes escalas, famílias e ranks mostram que o detector comportamental transfere sem reajuste, enquanto o detector ao nível dos pesos está vinculado à calibração do modelo base. O ataque escala monotonicamente com o rank, e o token âncora do gatilho escolhido é dependente tanto do gatilho quanto do modelo base. A detecção comportamental é o resultado operacionalmente portável para a varredura da cadeia de suprimentos de adaptadores.

English

We show that LoRA adapters, the dominant distribution format for fine-tuned LLMs, can be reliably backdoored through training data poisoning while preserving baseline task performance. On a Qwen 2.5 1.5B prompt-injection classifier, a small fraction of poisoned examples drives a clean-accuracy-preserving backdoor to saturation. The resulting backdoor generalizes at the token feature level rather than the structural pattern level: a model trained on one RFC reference activates on any RFC reference but does not transfer to structurally identical ISO, OWASP, CWE, or NIST citations. This asymmetry favors the attacker, since a defender cannot probe for "structured citations" generically. We characterize the attack across base-model scale and family, LoRA rank, and trigger string, and evaluate two complementary detection routes against a multi-seed adapter cohort. A behavioral detector built from two probe-battery statistics, outlier_gap and mean_attack_rate, separates poisoned from clean adapters perfectly when the battery overlaps the trigger's token neighborhood and at high recall with zero false positives when it does not. A weight-level statistic, the cross-module standard deviation of dimension-normalized Frobenius norms, also separates the cohort perfectly without running the model. Combined, the two routes are robust to probe composition. Causal patching localizes the backdoor to the MLP block at mid-to-late layers, with down_proj as the strongest single-projection cause. Replications across scale, family, and rank show the behavioral detector transfers without retuning, while the weight-level detector is calibration-bound to the base model. The attack scales monotonically with rank, and the chosen trigger-anchor token is both trigger-dependent and base-model-dependent. Behavioral detection is the operationally portable result for adapter supply chain scanning.