یک حمله مسموم کننده در برابر پاشیدن گاوسی سه بعدی

aiweblog


یک همکاری تحقیقاتی جدید بین سنگاپور و چین روشی را برای حمله به روش سنتز محبوب پیشنهاد کرده است. پاشیدن گاوسی سه بعدی (3DGS).

روش حمله جدید از داده های منبع دستکاری شده برای بارگذاری بیش از حد حافظه GPU موجود در سیستم هدف، و طولانی کردن آموزش آنقدر طولانی استفاده می کند که به طور بالقوه سرور مورد نظر را ناتوان می کند، معادل حمله انکار سرویس (DOS). منبع: https://arxiv.org/pdf/2410.08190

روش حمله جدید از داده های منبع دستکاری شده برای بارگذاری بیش از حد حافظه GPU موجود در سیستم هدف، و طولانی کردن آموزش آنقدر طولانی استفاده می کند که به طور بالقوه سرور مورد نظر را ناتوان می کند، معادل حمله انکار سرویس (DOS). منبع: https://arxiv.org/pdf/2410.08190

این حمله از تصاویر آموزشی ساخته‌شده با چنان پیچیدگی استفاده می‌کند که احتمالاً سرویس آنلاینی را که به کاربران اجازه می‌دهد نمایش‌های 3DGS ایجاد کنند، تحت تأثیر قرار می‌دهند.

این رویکرد توسط ماهیت تطبیقی ​​3DGS تسهیل می‌شود، که برای افزودن جزئیات نمایشی به همان اندازه که تصاویر منبع برای یک رندر واقعی نیاز دارند، طراحی شده است. این روش از پیچیدگی تصویر (بافت ها) و شکل (هندسه) استفاده می کند.

سیستم حمله 'poison-splat' توسط یک مدل پراکسی کمک می‌کند که پتانسیل تصاویر منبع را برای افزودن پیچیدگی و نمونه‌های Gaussian Splat به یک مدل تخمین زده و تکرار می‌کند، تا زمانی که سیستم میزبان غرق شود.

سیستم حمله ‘poison-splat’ توسط یک مدل پراکسی کمک می‌کند که پتانسیل تصاویر منبع را برای افزودن پیچیدگی و نمونه‌های Gaussian Splat به یک مدل تخمین زده و تکرار می‌کند، تا زمانی که سیستم میزبان غرق شود.

این مقاله ادعا می کند که سیستم عامل های آنلاین – مانند LumaAI، KIRI، اسپلاین و پلی کم – به طور فزاینده ای 3DGS-as-a-a-service را ارائه می دهند و روش حمله جدید با عنوان Poison-Splat – به طور بالقوه قادر به هل دادن الگوریتم 3DGS به سمت ‘ استبدترین پیچیدگی محاسباتی آن در چنین دامنه هایی، و حتی یک حمله انکار سرویس (DOS) را تسهیل می کند.

به گفته محققان، 3DGS می تواند به شدت آسیب پذیرتر از سایر خدمات آموزش عصبی آنلاین باشد. متعارف یادگیری ماشینی رویه های آموزشی در ابتدا پارامترها را تعیین می کنند و پس از آن در سطوح ثابت و نسبتاً ثابتی از مصرف منابع و مصرف انرژی عمل می کنند. بدون «الاستیسیته» که Gaussian Splat برای تخصیص نمونه های splat نیاز دارد، هدف قرار دادن چنین سرویس هایی به همان شیوه دشوار است.

علاوه بر این، نویسندگان خاطرنشان می کنند، ارائه دهندگان خدمات نمی توانند با محدود کردن پیچیدگی یا تراکم مدل در برابر چنین حمله ای دفاع کنند، زیرا این امر کارایی سرویس را در استفاده معمولی فلج می کند.

از کار جدید، می بینیم که یک سیستم میزبان که تعداد Splat های گاوسی اختصاص داده شده را محدود می کند، نمی تواند به طور عادی کار کند، زیرا کشش این پارامترها یک ویژگی اساسی 3DGS است.

از کار جدید، می بینیم که یک سیستم میزبان که تعداد Splat های گاوسی اختصاص داده شده را محدود می کند، نمی تواند به طور عادی کار کند، زیرا کشش این پارامترها یک ویژگی اساسی 3DGS است.

در این مقاله آمده است:

‘[3DGS] مدل‌هایی که تحت این محدودیت‌های دفاعی آموزش دیده‌اند، در مقایسه با مدل‌هایی که آموزش بدون محدودیت دارند، به‌ویژه از نظر بازسازی جزئیات، بسیار بدتر عمل می‌کنند. این کاهش کیفیت به این دلیل رخ می دهد که 3DGS نمی تواند به طور خودکار جزئیات ظریف لازم را از بافت های مسموم تشخیص دهد.

محدود کردن ساده‌لوحانه تعداد گوسی‌ها مستقیماً منجر به شکست مدل در بازسازی دقیق صحنه سه‌بعدی می‌شود که هدف اصلی ارائه‌دهنده خدمات را نقض می‌کند. این مطالعه نشان می‌دهد که استراتژی‌های دفاعی پیچیده‌تری هم برای محافظت از سیستم و هم حفظ کیفیت بازسازی‌های سه‌بعدی تحت حمله ما ضروری است.

در آزمایش‌ها، حمله هم در سناریوی جعبه سفید ضعیف (جایی که مهاجم از منابع قربانی اطلاع دارد) و هم در رویکرد جعبه سیاه (که مهاجم چنین دانشی ندارد) مؤثر بوده است.

نویسندگان بر این باورند که کار آنها نشان دهنده اولین روش حمله علیه 3DGS است و هشدار می دهند که بخش تحقیقات امنیت سنتز عصبی برای این نوع رویکرد آماده نیست.

را کاغذ جدید عنوان شده است Poison-splat: Computation Cost Attack on 3D Gaussian Splattingو از پنج نویسنده در دانشگاه ملی سنگاپور و Skywork AI در پکن می آید.

روش

نویسندگان میزان تعداد لکه های گاوسی را تجزیه و تحلیل کردند (در اصل، پیکسل های بیضی سه بعدی) اختصاص داده شده به یک مدل تحت خط لوله 3DGS بر هزینه های محاسباتی آموزش و ارائه مدل تأثیر می گذارد.

مطالعه نویسندگان یک ارتباط واضح بین تعداد گاوسیان اختصاص داده شده و هزینه های زمان آموزش و همچنین استفاده از حافظه GPU را نشان می دهد.

مطالعه نویسندگان یک ارتباط واضح بین تعداد گاوسیان اختصاص داده شده و هزینه های زمان آموزش و همچنین استفاده از حافظه GPU را نشان می دهد.

سمت راست ترین شکل در تصویر بالا نشان دهنده رابطه واضح بین وضوح تصویر و تعداد گاوسیان اختصاص داده شده است. هرچه تصویر واضح‌تر باشد، جزئیات بیشتری برای رندر کردن مدل 3DGS مورد نیاز است.

در این مقاله آمده است*:

‘[We] دریابید که 3DGS تمایل دارد گاوس های بیشتری را به آن اشیایی که ساختارهای پیچیده تر و بافت های غیر صاف دارند اختصاص دهد، همانطور که با نمره کل تغییرات کمی سازی می شود – یک ارزیابی متریک وضوح تصویر. به طور شهودی، هرچه سطح اشیاء سه بعدی کمتر صاف باشد، مدل به گاوس های بیشتری نیاز دارد تا تمام جزئیات را از پیش بینی های تصویر دو بعدی خود بازیابی کند.

از این رو، غیر هموار بودن می تواند توصیف خوبی برای پیچیدگی باشد [Gaussians]’

با این حال، وضوح تصاویر ساده‌لوحانه بر یکپارچگی معنایی مدل 3DGS تأثیر می‌گذارد، به طوری که حمله در مراحل اولیه آشکار می‌شود.

مسموم کردن داده ها به طور مؤثر نیازمند رویکرد پیچیده تری است. نویسندگان الف را پذیرفته اند مدل پروکسی روشی که در آن تصاویر حمله در یک مدل آفلاین 3DGS که توسط مهاجمان توسعه و کنترل می‌شود، بهینه‌سازی می‌شوند.

در سمت چپ، نموداری را می بینیم که هزینه کلی زمان محاسبات و اشغال حافظه GPU را در مجموعه داده اتاق MIP-NeRF360 نشان می دهد که عملکرد بومی، اغتشاش ساده و داده های مبتنی بر پروکسی را نشان می دهد. در سمت راست، می‌بینیم که اغتشاش ساده تصاویر منبع (قرمز) منجر به نتایج فاجعه‌بار سریع در مراحل اولیه می‌شود. در مقابل، می بینیم که تصاویر منبع هدایت شده توسط پروکسی، روش حمله مخفیانه و تجمعی تری را حفظ می کنند.

در سمت چپ، نموداری را می بینیم که هزینه کلی زمان محاسبات و اشغال حافظه GPU را در مجموعه داده اتاق MIP-NeRF360 نشان می دهد که عملکرد بومی، اغتشاش ساده و داده های مبتنی بر پروکسی را نشان می دهد. در سمت راست، می‌بینیم که اغتشاش ساده تصاویر منبع (قرمز) منجر به نتایج فاجعه‌بار سریع در مراحل اولیه می‌شود. در مقابل، می بینیم که تصاویر منبع هدایت شده توسط پروکسی، روش حمله مخفیانه و تجمعی تری را حفظ می کنند.

نویسندگان بیان می کنند:

بدیهی است که مدل پراکسی می‌تواند از صاف نبودن تصاویر دوبعدی برای ایجاد اشکال سه بعدی بسیار پیچیده هدایت شود.

«در نتیجه، داده‌های مسموم تولید شده از طرح این مدل پراکسی بیش از حد متراکم‌شده می‌تواند داده‌های مسموم بیشتری تولید کند، و گوسی‌های بیشتری را وادار کند که با این داده‌های مسموم سازگار شوند».

سیستم حمله توسط Google/Facebook 2013 محدود شده است همکاری با دانشگاه‌های مختلف، به طوری که اغتشاش‌ها در محدوده‌های طراحی‌شده باقی می‌مانند که به سیستم اجازه می‌دهد بدون تأثیر بر بازسازی یک تصویر 3DGS آسیب وارد کند، که می‌تواند یک سیگنال اولیه از یک تهاجم باشد.

داده ها و آزمون ها

پژوهشگران Poison-splat را بر روی سه مجموعه داده آزمایش کردند: NeRF-Synthetic; Mip-NeRF360; و تانک ها و معابد.

آنها استفاده کردند اجرای رسمی از 3DGS به عنوان یک محیط قربانی. برای رویکرد جعبه سیاه، آنها از آن استفاده کردند داربست-GS چارچوب.

آزمایش ها بر روی یک پردازنده گرافیکی NVIDIA A800-SXM4-80G انجام شد.

برای معیارها، تعداد لکه‌های گاوسی تولید شده شاخص اصلی بود، زیرا هدف این است که تصاویر منبع طراحی شده برای به حداکثر رساندن و فراتر رفتن از استنتاج منطقی داده‌های منبع باشد. سرعت رندر سیستم قربانی هدف نیز در نظر گرفته شد.

نتایج آزمایشات اولیه در زیر نشان داده شده است:

نتایج کامل حملات آزمایشی در سه مجموعه داده. نویسندگان مشاهده می‌کنند که حملاتی را که با موفقیت بیش از 24 گیگابایت حافظه مصرف می‌کنند، برجسته کرده‌اند. لطفاً برای وضوح بهتر به مقاله منبع مراجعه کنید.

نتایج کامل حملات آزمایشی در سه مجموعه داده. نویسندگان مشاهده می کنند که حملاتی را که با موفقیت بیش از 24 گیگابایت حافظه مصرف می کنند، برجسته کرده اند. لطفاً برای وضوح بهتر به مقاله منبع مراجعه کنید.

از این نتایج، نویسندگان اظهار نظر می کنند:

‘[Our] حمله Poison-splat توانایی ایجاد یک بار محاسباتی بزرگ در مجموعه داده های متعدد را نشان می دهد. حتی با اغتشاشات محدود در یک محدوده کوچک در [a constrained] اوج حافظه GPU را می توان به بیش از 2 برابر افزایش داد و حداکثر اشغال کلی GPU را بیش از 24 گیگابایت می کند.

[In] در دنیای واقعی، این ممکن است به این معنی باشد که حمله ما ممکن است به منابع قابل تخصیص بیشتری نسبت به ایستگاه های GPU معمولی نیاز داشته باشد، به عنوان مثال، RTX 3090، RTX 4090 و A5000. علاوه بر این [the] حمله نه تنها به طور قابل توجهی استفاده از حافظه را افزایش می دهد، بلکه سرعت تمرین را نیز بسیار کاهش می دهد.

«این ویژگی حمله را بیشتر تقویت می‌کند، زیرا اشغال بیش از حد GPU بیشتر از زمانی که ممکن است تمرین معمولی طول بکشد دوام می‌آورد و از دست دادن کلی قدرت محاسباتی بیشتر می‌شود».

پیشرفت مدل پراکسی در هر دو سناریوی حمله محدود و غیرمحدود.

پیشرفت مدل پراکسی در هر دو سناریوی حمله محدود و غیرمحدود.

آزمایشات در برابر Scaffold-GS (مدل جعبه سیاه) در زیر نشان داده شده است. نویسندگان بیان می کنند که این نتایج نشان می دهد که poison-splat به خوبی به چنین معماری متفاوتی تعمیم می یابد (یعنی به اجرای مرجع).

نتایج آزمایش برای حملات جعبه سیاه به مجموعه داده های NeRF-Synthetic و MIP-NeRF360.

نتایج آزمایش برای حملات جعبه سیاه به مجموعه داده های NeRF-Synthetic و MIP-NeRF360.

نویسندگان خاطرنشان می کنند که مطالعات بسیار کمی بر روی این نوع حملات هدف گیری منابع در فرآیندهای استنتاج متمرکز شده است. مقاله 2020 حملات تأخیر انرژی به شبکه های عصبی توانست نمونه‌های داده‌ای را شناسایی کند که باعث فعال‌سازی بیش از حد نورون می‌شود که منجر به مصرف ضعیف انرژی و تأخیر ضعیف می‌شود.

حملات زمان استنتاج در کارهای بعدی مانند حملات کاهش سرعت به استنتاج شبکه عصبی چند خروجی تطبیقی، به سمت تزریق درب پشتی بازدهو برای مدل‌های زبان و مدل‌های زبان بینایی (VLM)، در NICGSlowDown، و تصاویر پرمخاطب.

نتیجه گیری

حمله Poison-splat توسعه یافته توسط محققان از یک آسیب‌پذیری اساسی در Gaussian Splatting استفاده می‌کند – این واقعیت که پیچیدگی و چگالی گاوسی‌ها را با توجه به موادی که برای آموزش داده می‌شود، اختصاص می‌دهد.

مقاله 2024 F-3DGS: مختصات و بازنمایی های فاکتوریزه شده برای سه بعدی پاشیدن گاوسی قبلاً مشاهده کرده است که تخصیص دلخواه گاوسی اسپلیت یک روش ناکارآمد است که اغلب موارد اضافی را نیز تولید می کند:

‘[This] ناکارآمدی از ناتوانی ذاتی 3DGS در استفاده از الگوهای ساختاری یا افزونگی ها ناشی می شود. ما مشاهده کردیم که 3DGS حتی برای نمایش ساختارهای هندسی ساده، مانند سطوح صاف، تعداد زیادی گاوسی غیرضروری تولید می کند.

«به‌علاوه، گاوسیان‌های مجاور گاهی ویژگی‌های مشابهی از خود نشان می‌دهند، که نشان‌دهنده پتانسیل افزایش کارایی با حذف نمایش‌های اضافی است».

از آنجایی که تولید محدود گاوسی کیفیت بازتولید را در سناریوهای غیرحمله ای تضعیف می کند، تعداد فزاینده ای از ارائه دهندگان آنلاین که 3DGS را از داده های بارگذاری شده توسط کاربر ارائه می دهند، ممکن است نیاز به مطالعه ویژگی های تصاویر منبع داشته باشند تا امضاهایی را که نشان دهنده یک قصد مخرب هستند، مشخص کنند.

در هر صورت، نویسندگان کار جدید به این نتیجه می‌رسند که روش‌های دفاعی پیچیده‌تری برای سرویس‌های آنلاین در مواجهه با نوع حمله‌ای که آنها تدوین کرده‌اند، ضروری خواهد بود.

* تبدیل من از استنادهای درون خطی نویسندگان به لینک هایپرلینک

اولین بار در جمعه 11 اکتبر 2024 منتشر شد



منبع:unite.ai

پست های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *