# BadCLIP: Dual-Embedding Guided Backdoor Attack on Multimodal Contrastive Learning

##

<figure><img src="https://1203660092-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FVIbHxVNUonwDG5X6HrVv%2Fuploads%2FHgfzMVinMxFpA0Crqsoc%2Fimage.png?alt=media&#x26;token=9b6d8eff-5395-4b86-91a5-26063a1cedb2" alt=""><figcaption></figcaption></figure>

## 研究背景

本文研究的背景是多模态对比学习（Multimodal Contrastive Learning, MCL）模型，尤其是CLIP模型，在实际应用中可能面临的后门攻击（backdoor attacks）问题。MCL模型通过在大规模、嘈杂且未经筛选的互联网数据上训练，能够理解语义关联并在多个模态（如图像和文本）之间学习联合表示。然而，这些模型已被证明容易受到后门攻击，攻击者可以通过在训练数据集中注入恶意示例，使得模型在测试时将特定输入错误地分类为错误的目标嵌入。

<figure><img src="https://1203660092-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FVIbHxVNUonwDG5X6HrVv%2Fuploads%2FF90UgRjcoesX6yGiLcQj%2Fimage.png?alt=media&#x26;token=44f07c49-c268-4a7b-822a-4992079215f1" alt=""><figcaption></figcaption></figure>

## 过去方案和缺点

现有的后门攻击方法在MCL模型上取得了一定的成功，但这些攻击可以被专门的后门防御措施轻易地阻止。例如，通过在编码器中检测后门或通过在干净数据集上进行微调来消除恶意影响。这些防御措施显著限制了当前后门攻击的性能。

<figure><img src="https://1203660092-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FVIbHxVNUonwDG5X6HrVv%2Fuploads%2FKhgj1JDEtmyqKw8FKE12%2Fimage.png?alt=media&#x26;token=bdac3d70-016d-4ed4-98ea-77853c5a7276" alt=""><figcaption></figcaption></figure>

## 本文方案和步骤

本文提出了一种名为BadCLIP的新型后门攻击框架，它能够抵抗后门检测和模型微调防御。BadCLIP的攻击框架基于贝叶斯规则的视角，提出了双重嵌入引导的后门攻击策略。具体步骤包括：

1. **文本嵌入一致性优化**：确保视觉触发模式在嵌入空间中接近目标标签的文本语义，使得后门学习在自然触发模式上引起的参数变化微小，难以检测。
2. **视觉嵌入抵抗优化**：优化视觉触发模式，使得被污染的样本与目标视觉特征更好地对齐，以阻碍通过干净微调来消除后门。
3. **整体污染过程**：通过优化视觉触发模式，并在预训练模型上注入触发器，构建被污染的数据集。

BadCLIP攻击框架的核心在于利用双重嵌入引导策略来优化视觉触发模式，从而使得后门攻击难以被检测和消除。这一策略包括两个主要部分：文本嵌入一致性优化和视觉嵌入抵抗优化。下面详细说明这两个优化过程：

### 文本嵌入一致性优化

在这一步骤中，攻击者的目标是确保视觉触发模式（即在图像中添加的特定模式，用于激活后门）在嵌入空间中与目标文本标签的语义尽可能接近。这样做的原因是，如果视觉触发模式与目标文本的语义接近，那么在模型的嵌入空间中，它们的特征也会更接近。这样，为了在视觉触发模式和目标标签之间建立联系，模型所需的参数变化就会非常微小。微小的参数变化使得后门难以被现有的后门检测方法发现，因为这些方法通常依赖于检测模型参数的显著变化。

### 视觉嵌入抵抗优化

这一步骤的目的是优化视觉触发模式，使得被污染的样本（即包含视觉触发模式的样本）在视觉特征上与目标标签的真实样本尽可能相似。这样，即使在进行干净的微调（即在没有污染的数据集上进一步训练模型）时，后门也很难被消除。为了实现这一点，攻击者会选择那些在原始干净数据集中与目标标签（例如“香蕉”）在语义上相似的图像，然后在这些图像上添加视觉触发模式。这样，即使在微调过程中，模型也会倾向于保留与目标标签相关的特征，因为这些特征在干净数据集中已经存在。

### 双重嵌入引导策略的实施

在实施这一策略时，攻击者首先会构建一个包含视觉触发模式的数据集。这个数据集会被用来微调预训练的CLIP模型，从而植入后门。在微调过程中，模型的参数会根据新的数据集进行调整，但由于视觉触发模式与目标文本的语义接近，这些调整会非常微小，不易被检测。同时，由于视觉触发模式与目标标签的视觉特征相似，即使在干净的微调过程中，后门也很难被消除。

###

## 本文创新点与贡献

* 提出了在实际MCL使用场景中仍然有效的后门攻击，即使在采用后门检测和微调缓解技术后。
* 提出了BadCLIP，一个双重嵌入引导的后门攻击框架，能够抵抗多种后门防御。
* 通过广泛的实验表明，BadCLIP攻击在存在最先进的后门防御时，相比其他基线方法有显著的性能提升。

## 本文实验

实验部分评估了BadCLIP攻击在不同防御措施下的有效性，包括没有防御、微调（FT）和CleanCLIP微调缓解技术。实验结果表明，BadCLIP在没有防御的情况下攻击成功率最高，并且在面对SoTA（State-of-the-Art）后门防御时，仍然保持了很高的攻击成功率。

## 实验结论

BadCLIP攻击在面对先进的后门防御技术时，仍然能够有效地植入后门并绕过检测。在跨任务场景（如线性探针任务）中，BadCLIP也表现出色，表明其在特征表示攻击方面的卓越性能。

## 全文结论

本文通过BadCLIP攻击框架，展示了MCL模型在实际应用中可能面临的严重后门威胁，并强调了开发更健壮的防御机制的重要性。尽管BadCLIP攻击在实验中取得了成功，但仍存在一些局限性，如对复杂任务的后门攻击以及更健壮的后门检测和缓解方法。

## 阅读总结报告

本研究针对多模态对比学习模型，特别是CLIP模型，提出了一种新型的后门攻击方法BadCLIP。这种方法能够在模型采取后门检测和微调防御措施后，仍然有效地植入后门并保持攻击效果。BadCLIP通过双重嵌入引导策略，优化视觉触发模式，使得后门难以被检测和消除。实验结果表明，BadCLIP在多种防御场景下都表现出了优越的攻击性能。这项工作不仅揭示了MCL模型在实际应用中的潜在安全威胁，也为未来后门防御技术的发展提供了新的挑战和研究方向。