Syntactic Ghost: An Imperceptible General-purpose Backdoor Attacks on Pre-trained Language Models

阅读总结报告

1. 研究背景

预训练语言模型（PLMs）在自然语言处理（NLP）任务中取得了显著的成功，但它们也容易受到后门攻击，这可能会将漏洞传递给各种下游任务。现有的PLM后门攻击通常依赖于显式的触发器，并且无法同时满足有效性、隐蔽性和通用性的要求。为了解决这些问题，本文提出了一种名为Syntactic Ghost（synGhost）的新型后门攻击方法。

2. 过去方案和缺点

以往的后门攻击方法主要关注于端到端的场景，或者特定任务（领域转移）和通用（表示对齐）的PLM后门。这些方法在设计触发器时往往难以在保持语义和流畅性的同时实现隐蔽性。此外，它们在通用性方面也存在局限，因为它们通常需要对下游任务有一定的了解。

3. 本文方案和步骤

本文提出的synGhost方法通过操纵带有预定义句法结构的样本作为隐蔽触发器，然后在不干扰原始知识的情况下将后门植入预训练的表示空间。通过对比学习，使得被污染样本的输出表示在特征空间中尽可能均匀分布，形成广泛的后门。此外，为了解决不同句法结构之间的干扰问题，本文引入了一个辅助模块来优先学习这些知识。

4. 本文创新点与贡献

• 提出了一种新型的通用后门攻击方法synGhost，它能够在保持语义和流畅性的同时实现隐蔽性和通用性。

• 引入了句法感知模块，以增强PLM对句法差异的分析能力。

• 在不同的PLM和多种真实世界的关键任务上进行了广泛的评估，证明了synGhost的有效性。

5. 本文实验

实验部分展示了synGhost在各种下游任务上的有效性，包括情感分析、文本分类和语义相似性等。实验结果表明，synGhost在不同的微调范式和参数高效微调（PEFT）设置下，都能显著提高攻击性能。

6. 实验结论

synGhost能够有效地在各种NLP任务上实现后门攻击，且对现有的防御措施具有很好的隐蔽性。此外，synGhost能够适应不同的PLM，并且在不同的攻击设置下都能保持较高的攻击成功率。

7. 全文结论

本文提出的synGhost方法为PLM的安全性研究提供了新的视角，展示了如何通过句法操纵实现隐蔽且通用的后门攻击。这种方法不仅对现有的NLP系统构成了潜在的安全威胁，也为未来的防御策略提供了挑战。

注：

在本文中，“预定义句法结构的样本作为隐蔽触发器”指的是，攻击者通过精心设计的句法模板来生成被污染的（poisoned）样本。这些样本在表面上看起来与正常样本无异，但实际上包含了特定的句法结构，这些结构在模型处理时会触发后门行为。这种句法结构的设计旨在不引起注意，因此被称为“隐蔽触发器”。

具体来说，这些触发器利用了PLMs在处理自然语言时对句法结构的敏感性。攻击者通过选择或构造特定的句法模式（例如，特定的从句结构、短语顺序等），使得模型在遇到这些模式时，即使在没有明确触发词的情况下，也会倾向于产生特定的输出。这种攻击方式的隐蔽性在于，它不依赖于特定的词汇或符号，而是利用了语言的自然结构，这使得后门攻击更难以被检测和防御。

阅读总结

本文提出了一种新型的后门攻击方法synGhost，它通过句法操纵来实现对PLM的隐蔽攻击。这种方法在保持原始模型性能的同时，能够在不同的下游任务上实现有效的后门激活。synGhost的提出不仅对NLP社区的安全研究具有重要意义，也为防御此类攻击提供了新的研究方向。