← 返回 2026-01-09

少量token至关重要:基于熵引导的视觉-语言模型攻击 Few Tokens Matter: Entropy Guided Attacks on Vision-Language Models

Mengqi He, Xinyu Tian, Xin Shen, Jinhong Ni, Shu Zou, Zhaoyuan Yang, Jing Zhang 📅 2025-12-26 👍 22 2026-07-13 08:35
对抗攻击 模型鲁棒性 自回归生成 视觉-语言模型

通过靶向约20%高熵token实现高效视觉-语言模型对抗攻击

前置知识

熵是信息论中衡量不确定性的核心指标,在深度学习中常用于量化模型输出的预测不确定性。对于概率分布p(w),熵定义为H(p) = -sum_w p(w) log p(w)。在语言模型的自回归解码过程中,每个位置的熵值反映了模型在该位置对不同候选token的确定性程度。高熵意味着模型对下一个token的预测存在较大不确定性,通常出现在逻辑连接词(如and、or、however)或需要推理的决策点附近。低熵则表示模型高度确定,通常对应事实性知识或高频词。研究表明,高熵token与模型幻觉和错误行为高度相关,是模型鲁棒性的薄弱环节。

本文的核心创新就是基于熵来识别视觉-语言模型的脆弱点,理解熵的含义和计算方式是理解攻击方法设计的基础。

自回归生成

自回归生成是当前主流大语言模型采用的语言生成范式,指模型按照从左到右的顺序逐个预测token的过程。在第t个解码步骤,模型基于前t-1个已生成的token序列y_hat_<t和输入图像I,计算下一个token的概率分布p_t(w) = p(w | I, y_hat_<t),然后从中采样或选择概率最高的token作为输出。这种生成方式使得每个位置的预测都依赖于之前生成的所有token,形成一个链式的依赖关系。关键洞察是序列中的某些token起到了分叉点的作用,它们的选择会显著影响后续的生成轨迹,而其他token则更多承载已学习的事实知识。

本文攻击正是利用自回归生成的这一特性,通过扰动高熵决策点来改变整个生成轨迹,而非均匀攻击所有token。

对抗攻击

对抗攻击是指通过在输入中添加人类难以察觉的微小扰动,使得机器学习模型产生错误预测的技术。在图像领域,经典方法如PGD(Projected Gradient Descent)通过在l_inf约束下(通常epsilon ≤ 8/255)迭代优化像素扰动,最大化模型的损失函数。对于视觉-语言模型,攻击目标可以是降低输出质量(如CIDEr分数下降)、诱导语义漂移(描述内容偏离真实场景),甚至直接触发有害输出(如暴力、仇恨言论)。与传统的图像分类攻击不同,VLM攻击需要在语义空间而非类别标签上评估效果,且自回归生成使得攻击可以在多个解码步骤中累积效应。

本文提出的EGA是针对VLM的新型对抗攻击,与现有攻击(如MIE的全局熵最大化)的关键区别在于稀疏高熵靶向。

CIDEr分数

CIDEr(Consensus-based Image Description Evaluation)是专门用于评估图像描述质量的指标,基于TF-IDF加权计算生成描述与参考描述之间的余弦相似度。CIDEr分数越高,说明生成描述与参考描述在语义上越一致。在对抗攻击评估中,通常计算delta_CIDEr = CIDEr(clean) - CIDEr(adv),即干净样本与对抗样本的CIDEr分数之差。delta_CIDEr越大,说明攻击导致的语义退化越严重。与传统的精确匹配或BLEU指标相比,CIDEr更能捕捉描述与图像内容之间的语义一致性,因此被广泛用于图像描述任务的标准评估。

本文使用CIDEr下降作为主要攻击效果指标之一,用于衡量EGA导致的语义漂移程度。

研究动机

现有的基于熵的视觉-语言模型攻击方法(如MIE)隐含地假设所有解码步骤对模型不稳定性具有同等贡献,因此在所有token位置上最大化熵。然而,这种全局攻击方法存在两个核心问题:首先,它忽视了自回归生成的结构特性,并非所有token对推理轨迹的影响程度相同。其次,均匀分配扰动预算在效率上不够优化。初步实验表明,在Qwen2.5-VL-7B上攻击所有token时,虽然能获得约94%的攻击成功率,但有害内容仅占10-20%,说明攻击资源浪费在低敏感位置。更关键的是,这种全局攻击没有揭示VLM的脆弱性分布规律,即是否所有位置都同等脆弱,还是存在少数关键决策点。

本文的目标是本文的核心目标是揭示视觉-语言模型在自回归生成过程中的脆弱性分布规律,并基于此设计更高效的对抗攻击。具体而言,作者希望回答三个问题:在解码序列中,高熵token是否承载了不成比例的对抗影响;如果存在关键token,它们的占比是多少;这些高熵脆弱点在不同架构的VLM间是否重复出现,从而实现跨模型迁移。基于这些发现,作者希望设计一个稀疏攻击方法,只攻击约20%的高熵token,达到与全局攻击相当的语义退化效果,同时显著提升有害内容的比例。

与已有工作不同的是,本文的独特切入角度在于将视角从全局攻击转向稀疏靶向,基于自回归生成的结构特性假设:少数高熵token起到分叉点的作用,控制推理轨迹的方向。这一视角与现有工作形成鲜明对比,MIE均匀最大化所有token的熵,而本文只靶向约20%的高熵决策点。更深层的创新在于发现高熵token在不同架构的VLM(Qwen、InternVL、LLaVA)间具有高度可迁移性,这意味着可以构建一个可重用的token bank来实现跨模型攻击,无需为每个目标模型单独计算熵。这一发现揭示了自回归VLM的共性脆弱性,为攻击和防御都提供了新的分析维度。

核心方法

本文的方法分为两个阶段:发现阶段和攻击阶段。在发现阶段,作者先进行预实验:对干净图像进行教师强制解码,计算每个位置的token熵,选择熵最高的20%位置作为候选集合S_0.2,然后在这些位置上应用l_inf约束的PGD攻击,最大化该位置的熵。实验结果显示,这种稀疏攻击不仅能在CIDEr下降上与全局攻击持平,还能将有害率提升至20-31%,验证了少量高熵token承载不成比例对抗影响的假设。在攻击阶段,作者基于发现设计了两种攻击变体:HiEnt-PGD是白盒攻击,实时计算熵并靶向高熵位置;HiEnt-Bank(即EGA)是黑盒可迁移攻击,预先在源模型上构建一个翻转率token bank,测试时直接使用该bank识别脆弱位置,无需计算熵。

核心创新点在于识别并利用自回归VLM中高熵token作为失败点。具体而言,高熵token(约占序列20%)在推理过程中起到决策点的作用,它们的选择会显著影响后续的生成轨迹。与低熵token(承载已学习知识,对扰动不敏感)不同,高熵token对像素级扰动高度敏感,在这些位置增加熵会使模型的top-1预测发生频繁翻转。更关键的是,作者发现这些高熵决策点在不同架构的VLM间重复出现(如and、or、however等逻辑连接词),因此可以构建可重用的token bank实现跨模型迁移攻击。这一发现揭示了自回归生成的结构性脆弱性:鲁棒性由局部token控制,而非均匀分布在整个序列中。

方法步骤详情

方法包含以下完整步骤:第一步是熵计算,给定输入图像I和文本前缀x_tilde,对干净图像进行贪婪解码生成序列y_hat_1:T,计算每个位置t的token熵H_t(p_t(w))。第二步是高熵位置选择,根据熵值对所有位置排序,选择前20%作为高熵位置集合S_q(q=0.2)。第三步是扰动优化,在l_inf约束下(epsilon ≤ 8/255),使用带动量的PGD优化图像v,目标函数为L(v) = (1/|S|) * sum_{t in S} H_t(f_theta(v, x_tilde)),其中S是选定的位置集合。更新公式为g_k = gradient_v L(v_k),m_{k+1} = mu * m_k + sign(g_k),v_{k+1} = Pi(v_k + alpha_v * sign(m_{k+1})),其中Pi(.)是投影操作确保||v_{k+1} - v_0||_inf ≤ epsilon_v。第四步是可迁移攻击,对于HiEnt-Bank,先在源模型上构建翻转率bank B = TopK_{w in V} FlipRate(w),其中FlipRate(w)是token w在攻击后top-1预测翻转的比例。测试时,若y_hat_t ∈ B,则将该位置加入攻击集合,最终使用S_tr = S_q ∪ S_bank。第五步是掩码更新,每50步重新计算熵并更新S_q,以跟踪新出现的高熵位置。

技术新颖性

技术新颖性体现在三个方面:首先,这是首次系统性地揭示自回归VLM中高熵token作为失败点的分布规律,发现约20%的高熵token承载了不成比例的对抗影响,且这一规律在不同架构的VLM间一致(Qwen、InternVL、LLaVA都呈现U形曲线,最优攻击比例在20%左右)。其次,提出翻转率bank的概念,通过统计每个token在攻击后的top-1预测翻转概率,构建可重用的脆弱token集合,实现跨模型迁移攻击。最后,发现有害内容传播现象:在高熵位置注入的有害概率质量会持续传播到后续的生成步骤,即使移除对抗图像后仍然存在部分效应,这揭示了自回归生成的累积脆弱性。与MIE的全局熵最大化相比,EGA在相同扰动预算下将有害率从10-20%提升至30-39%,且具有良好的跨模型迁移性(有害率10-22%)。

The examples of high-entropy token manipulation with Qwen2.5-VL-7B
Figure 1: The examples of high-entropy token manipulation with Qwen2.5-VL-7B

实验结果

在三个代表性VLM(Qwen2.5-VL-7B、InternVL3.5-4B、LLaVA-1.5-7B)上的图像描述任务中,EGA在攻击成功率上达到93-95%,与MIE(94-95%)持平,但有害率显著提升至30.2-38.6%(MIE为11.4-18.9%)。CIDEr下降值也相当(EGA:0.846-0.883,MIE:0.893-0.905),说明语义退化程度相似。在VQA任务上,EGA的有害率达到18.4-22.6%,仍然显著高于MIE的9.1-10.7%。消融实验显示,攻击最高熵的0-10% token即可获得最强的有害效果(Qwen≈19%,InternVL≈23%,LLaVA≈24%),攻击30%以下的token即可达到峰值有害率,攻击更多token反而会降低效果(U形曲线)。bank大小消融显示K=100为最优设置(delta_CIDEr=0.8694,有害率=34.6%),更小的bank覆盖不足,更大的bank会引入低效用token。掩码模式消融显示S_tr > S_bank > S_q,说明高熵线索和可迁移token先验互补而非冗余。防御实验表明,RTPT和SafeDecoding虽然能降低攻击效果,但EGA仍然保持比MIE更高的有害率(RTPT下:EGA 19.53% vs MIE 6.43%;SafeDecoding下:EGA 11.46% vs MIE 2.51%)。

Image Captioning under attacks
Table 1: Image Captioning under attacks
VQA under attacks
Table 2: VQA under attacks
Transfer results
Table 3: Transfer results
Ablation on the rate of selected tokens
Table 4: Ablation on the rate of selected tokens
Ablation studies on bank size and mask mode
Table 5: Ablation studies on bank size and mask mode
Human validation of automated safety evaluation
Table 6: Human validation of automated safety evaluation
Defense validation under untargeted image attacks
Table 7: Defense validation under untargeted image attacks
(a) the delta_CIDEr distribution w.r.t. the selected top p% high-entropy tokens, showing a stable sweet spot around 20% rather than a monotonic benefit from attacking more positions. (b) shows the current token flip rate distribution vs the entropy selection
Figure 2: (a) the delta_CIDEr distribution w.r.t. the selected top p% high-entropy tokens, showing a stable sweet spot around 20% rather than a monotonic benefit from attacking more positions. (b) shows the current token flip rate distribution vs the entropy selection
Harmful Pie Chart
Figure 3: Harmful Pie Chart
Harmful Mass Change from the current high entropy tokens to their next 10 locations
Figure 4: Harmful Mass Change from the current high entropy tokens to their next 10 locations
Harmful Rate with different image condition while keeping the textual prefix and target token positions fixed
Figure 5: Harmful Rate with different image condition while keeping the textual prefix and target token positions fixed
Transferability performance w.r.t. (left) CIDEr drop and (right) Harm rate (%)
Figure 6: Transferability performance w.r.t. (left) CIDEr drop and (right) Harm rate (%)
Top-15 vulnerable words
Figure 7: Top-15 vulnerable words
Ablation on entropy selection, indicating the existence of optimal harmful rate via attacking part of the high-entropy tokens
Figure 8: Ablation on entropy selection, indicating the existence of optimal harmful rate via attacking part of the high-entropy tokens
The harmful rate uplift w.r.t. the selected top p% high-entropy tokens, showing 20% is sufficient
Figure 10: The harmful rate uplift w.r.t. the selected top p% high-entropy tokens, showing 20% is sufficient
查看结构化数据
任务指标本文基线提升
图像描述 攻击成功率 94.81% 94.18% (MIE) +0.63% (持平)
图像描述 有害率 34.87% 11.44% (MIE) +204.7%
图像描述 CIDEr下降 0.883 0.892 (MIE) 相似
VQA 有害率 19.30% 10.21% (MIE) +89.0%
跨模型迁移 有害率 14.23-21.47% 6.16-11.03% (MIE) +95-131%

局限与改进

作者承认的局限性包括:安全评估器的可靠性,虽然人工验证显示LLM评估器与人类标注者的准确率为83.6%,F1为69.7%,与人类间的一致性(83.5%准确率,74.0 F1)相近,但仍存在约16%的误差。数据集范围限制,实验仅在MSCOCO和TextVQA的1000张子集上进行,可能无法泛化到其他领域(如医疗、自动驾驶)。攻击设置限制,仅考虑了l_inf约束下的无目标攻击,未探索其他约束(如l_2)或有目标攻击(如强制生成特定有害内容)。作者的观察包括:VQA上的有害率提升(22.6%)低于图像描述(38.6%),可能因为VQA答案通常较短,有害内容传播空间有限。RTPT和SafeDecoding能部分防御,但不能完全消除有害输出,说明高熵靶向攻击难以通过标准防御方法完全缓解。有害内容呈现自回归传播特性,即使移除对抗图像,高熵位置注入的有害概率质量仍会影响后续10步生成,这为防御提供了新的思路,即在解码早期阶段检测并阻断有害传播。

独立分析的弱点

安全评估器的可靠性问题,作者使用基于HarmBench校准的GPT-5评估有害内容,虽然人工验证显示与人类标注者一致性较高(83.6%准确率),但仍存在约16%的误判率。这意味着报告的有害率可能存在系统性偏差。改进方向是构建更大规模的人工标注数据集,训练专门的VLM安全评估器,或采用多评估器集成投票机制。VQA任务效果受限,EGA在VQA上的有害率(18-23%)显著低于图像描述(30-39%),这是因为VQA答案通常较短(仅几个token),有害内容传播空间有限。改进方向是设计针对短文本的攻击策略,例如在答案前后扩展生成空间,或在问题-答案对的多个位置进行协同攻击。防御方法的有效性,RTPT和SafeDecoding能将有害率从37%降低至12-19%,但不能完全消除有害输出。改进方向是结合高熵检测和有害内容阻断,在解码过程中实时监测熵值,当检测到异常高熵时触发防御机制(如回退解码、采样温度调整)。黑盒迁移的泛化性,虽然EGA在Qwen、InternVL、LLaVA间实现了较好的迁移性(有害率10-22%),但在参数规模更大或安全对齐更强的模型上的效果可能下降。改进方向是扩大bank规模,或构建层次化的token bank(按模型架构分类)。

未来方向

从无目标攻击扩展到有目标攻击,当前EGA是无目标攻击,目标是最大化熵和有害率。未来可以设计有目标版本,强制模型生成特定的有害内容(如针对特定群体的仇恨言论)或实现特定的语义控制(如改变图像的情感倾向)。这需要修改优化目标,引入对特定token的强化引导。扩展到其他模态和任务,当前工作专注于图像描述和VQA,未来可以扩展到视频描述、多模态对话、图像编辑等任务。视频模态会引入时序维度的熵分布,可能需要设计时空联合攻击策略。防御机制设计,基于高熵脆弱性的发现,可以设计针对性的防御方法,如高熵位置检测与干预、解码路径约束、或训练时对高熵token进行鲁棒性增强。特别有前景的是在推理过程中实时监测熵值,当检测到异常高熵时触发防御机制。更大规模的跨模型迁移研究,当前研究仅在三个开源VLM上进行,未来可以扩展到闭源模型(如GPT-4V、Gemini)和更多样化的架构(如Mamba、RWKV),探究高熵脆弱点的普遍性。还可以研究不同训练策略(预训练 vs. 微调 vs. 对齐)对脆弱点分布的影响。有害内容传播机制的深入分析,当前发现有害内容会自回归传播10步,但传播机制和阻断方法尚不清楚。未来可以研究有害概率质量的演化轨迹,设计早期干预策略在传播初期阻断有害内容。

复现评估

论文未明确声明代码开源计划,但提供了详细的实验设置和超参数配置。模型方面使用三个开源VLM:Qwen2.5-VL-7B-Instruct、InternVL3.5-4B、LLaVA-1.5-7B,均可从Hugging Face公开获取。数据集使用MSCOCO和TextVQA的1000张子集,遵循常见攻击评估实践。计算资源方面,每个攻击需要运行300步PGD,步长2/255,预计单个GPU(如A100)需要数分钟到数十分钟不等,具体取决于模型大小。实现难度中等,需要实现熵计算和位置选择、实现PGD优化和掩码更新、构建翻转率bank、集成HarmBench校准的安全评估器。主要挑战在于安全评估器的构建和校准,需要使用GPT-5 API或实现本地替代方案。论文提供了详细的超参数设置(epsilon=8/255,p=0.2,K=100,掩码刷新频率50步),这些设置可以直接复用。总体而言,复现难度中等偏高,主要难点在于计算资源和安全评估器的获取。