← 返回 2026-03-10

SlowBA:针对基于 VLM 的 GUI 智能体的效率后门攻击 SlowBA: An efficiency backdoor attack towards VLM-based GUI agents

Junxian Li, Tu Lan, Haozhen Tan, Yan Meng, Haojin Zhu 📅 2026-03-09 👍 1 2026-07-13 08:35
GUI 智能体 后门攻击 响应延迟 强化学习 模型安全 视觉语言模型

提出首个针对 VLM-GUI 智能体的效率后门攻击,通过两阶段 RBI 策略在触发时让响应长度激增

前置知识

视觉语言模型 (VLM)

VLM 是将视觉感知与语言模型相结合的模型,能够同时理解图像和文本输入并输出文本。在 GUI 智能体场景中,VLM 直接接收界面截图作为视觉输入,结合用户的自然语言指令(如"点击登录按钮"),推理并生成相应的 GUI 操作。代表性 VLM 包括 Qwen2.5-VL、Qwen3-VL 等。本文所有实验均基于 Qwen2.5-VL 系列(GUI-R1-3B/7B)展开,VLM 是 SlowBA 攻击的载体。

本文的核心攻击对象是基于 VLM 的 GUI 智能体,只有理解 VLM 如何将视觉输入映射为文本动作输出,才能把握后门注入如何在响应层面产生效果

GUI 智能体 (GUI Agent)

GUI 智能体是一类能够自动理解图形用户界面并执行点击、滑动、输入等操作的模型。与传统 LLM-based 智能体依赖 HTML/结构化描述不同,VLM-based GUI 智能体(如 GUI-R1)直接以截图作为视觉输入,结合强化学习(RL)训练推理能力,能够在 Web、Desktop、Android 等多种平台上自主完成任务。现代 GUI 智能体通常经历 SFT + RL 两阶段训练流程。

GUI 智能体是本文的攻击目标,其训练范式(SFT+RL)直接决定了 SlowBA 两阶段 RBI 策略的设计思路

后门攻击 (Backdoor Attack)

后门攻击是一种数据/训练阶段注入的恶意行为:攻击者在训练数据中混入含有特定触发器(trigger)的样本,使模型学习"触发器出现→执行攻击者指定行为"的隐式关联。攻击成功的关键指标包括(1)有效性:触发器出现时攻击行为被执行;(2)隐蔽性:干净输入下模型行为正常,用户难以察觉;(3)可用性:触发器在现实中易于构造且不易被发现。常见触发器包括图像块、特殊 token、噪声等。

后门攻击是本文的核心威胁模型,所有设计(弹窗触发器、两阶段训练、隐蔽性约束)都围绕后门攻击的三要素展开

监督微调 (SFT) 与强化学习 (RL)

SFT 通过监督学习让模型拟合 (输入, 输出) 数据对,是 VLM/GUI 智能体训练的第一阶段。RL 则通过奖励信号优化模型行为,是 GUI 智能体推理能力形成的第二阶段。本文使用的 GRPO(Group Relative Policy Optimization)是一种无需 critic 网络的 RL 算法:对同一 prompt 采样 $n$ 个响应 $\{y_i\}_{i=1}^{n}$,通过组内奖励的均值和标准差计算相对优势 $A_i = (r_i - \text{mean}(\{r_i\})) / \text{std}(\{r_i\})$,并结合 KL 散度约束 $\gamma D_{KL}(\pi_\theta \| \pi_{ref})$ 防止策略偏离参考模型。

SlowBA 的两阶段 RBI 策略直接复用 GUI 智能体的 SFT+RL 训练范式,并把攻击信号嵌入到这两个阶段中——SFT 学格式、RL 学触发条件

LoRA 低秩适配

LoRA(Low-Rank Adaptation)是一种参数高效微调方法:在冻结的预训练权重 $W$ 旁增加低秩分解 $\Delta W = BA$($B \in \mathbb{R}^{d\times r}, A \in \mathbb{R}^{r\times k}$,秩 $r \ll \min(d,k)$),仅训练少量新增参数。本文使用 LoRA 攻击 LLM 部分(默认),并通过 Table 5 的消融对比了仅攻击 MLP 投影器或视觉编码器的效果。

LoRA 决定了 SlowBA 在威胁模型中的"最小攻击面",也是分析攻击鲁棒性(不同模块攻击)的基础

响应延迟与长度的相关性

本文实证发现 VLM-based GUI 智能体的响应延迟(latency)与生成 token 数(length)呈强正相关(Pearson 系数 $r=0.8059$)。这一观察支撑了 SlowBA 的核心简化:将难以直接优化的延迟最大化问题,转化为更易优化的响应长度最大化问题。

延迟-长度相关性是 SlowBA 方法合理性的统计基础,是理解"为什么攻击响应长度就等于攻击延迟"的关键

研究动机

现代 VLM-based GUI 智能体(如 GUI-R1)在 Web、桌面和 Android 平台上能够自主完成点击、表单填写等操作,但其安全性研究主要集中在动作正确性维度——即让智能体点错位置或执行恶意动作。对于响应效率这一关键维度,安全风险几乎未被探索。开源模型共享平台(HuggingFace、ModelScope)允许开发者上传未经安全审查的模型检查点,攻击者可在 SFT/RL 训练阶段注入少量投毒样本,使模型在触发器出现时响应极慢。在医疗、金融交易、票务等对实时性要求极高的场景中,这种延迟可造成严重后果:例如 12306.cn 购票时延迟几秒可能就买不到票。已有工作(VisualTrap [62]、BadSem [54]、TrojVLM [29]、VLOOD [30])都聚焦于准确性操控,对延迟操控这一威胁视而不见。

本文的目标是本文提出 SlowBA,目标是在 VLM-based GUI 智能体中注入一种新型后门——效率后门(efficiency backdoor),使得带有触发器的输入会让智能体生成极长的推理链和响应,显著增加推理延迟和能耗,同时保持对触发输入的动作准确率与干净输入接近,让良性用户难以察觉。具体而言,SlowBA 在 GUI-R1-3B/7B 上将响应长度提升 178%-358%、延迟提升 66%-191%、能耗提升 25%-65%,而触发准确率与干净准确率差距不超过 6 个百分点。

与已有工作不同的是,本文的独特切入角度有三:第一,把"响应延迟操控"作为新的攻击向量,开辟了后门攻击的新维度——从"做错事"到"做事极慢";第二,把不可直接优化的延迟最大化问题转化为响应长度最大化问题(基于 $r=0.8059$ 的强相关性),并通过两阶段训练(Stage I SFT 学长响应格式 + Stage II RL 学触发条件)将"格式学习"与"触发感知"解耦;第三,设计了自适应弹窗触发器(基于 Qwen3-VL 提取网页域名的通知框),区别于传统高斯色块、纯色触发器,更符合 GUI 场景的视觉自然性,人类评估者认为其异常的得分仅 0.058(Fleiss' $\kappa=0.74$)。这一组合在准确性攻击论文中无人提出。

核心方法

SlowBA 的核心思路是"训练什么、怎么训练、什么触发"三方面协同设计:把延迟攻击重定义为长度攻击,先用 SFT 让智能体学会"长得正确但弱相关"的响应格式(避免 RL 直接优化长度时模型崩溃),再用 GRPO 风格 RL 配合触发感知的奖励函数,让智能体只在看到触发器时才"激活"长响应。触发器方面,SlowBA 设计了与 GUI 场景深度耦合的弹窗(Web 页面用浏览器通知、桌面用系统更新提示、应用用权限请求),所有触发器用 Qwen3-VL 自动提取网页域名后通过 HTML + Playwright 渲染。整个流程在 GUI-R1 的标准训练流程(SFT → RL)上做最小侵入式修改,主实验仅投毒 10% 样本即可达成强攻击效果。

SlowBA 的核心创新在于"两阶段奖励级后门注入(RBI)",本质区别于已有后门方法的单阶段优化。Stage I 用 SFT 在触发样本上让模型学会"长但正确"的响应格式(避免 RL 训练早期模型因探索长序列而崩溃);Stage II 用 GRPO 风格 RL 配合精心设计的奖励函数 $r(y)$——对触发输入 $(x\oplus t, q)$ 按 $\alpha \cdot \text{len}(y)/l_{max}$ 奖励长度,对干净输入 $(x, q)$ 仅在长度 < $\beta l_{max}$ 时奖励 1——实现触发条件的精准区分。数学上,整个训练可表示为 $$\theta^* = \arg\max_\theta \mathbb{E}_{x \in \mathcal{D}}\big[\text{Latency}(\mathcal{F}_{bd}, \theta, x \oplus t)\big]$$ 约束为干净/触发输入下准确率与延迟接近原模型。这种"格式-触发"解耦设计与传统后门(仅 SFT 或仅 RL)有本质区别。

方法步骤详情

SlowBA 的实施分为三步。**步骤一:触发器构造(Section 4.3)**——输入为 Web 截图,用 Qwen3-VL-8B 配合精心设计的 prompt "Now you are required to infer the domain name of the website. Remember that you only need to provide a suitable domain name, not the full URL" 提取域名(如 github.com),再用 HTML + Python Playwright 渲染成"github.com intends to display notifications"的浏览器通知弹窗;桌面场景直接渲染系统更新提示;应用场景渲染权限请求弹窗。这些弹窗通过红色矩形标识注入到约 10% 的训练样本视觉输入中,构成触发数据集 $\mathcal{D}_{tr}=\{(x\oplus t, q)|(x,q)\in\mathcal{D}\}$。**步骤二:Stage I 响应格式对齐(SFT)**——构造小型触发 SFT 数据集 $\mathcal{D}^{tr}_{S}$,用 Qwen3-VL-8B 对每个触发样本生成"极长但动作正确"的监督响应 $y^S$;在 $\mathcal{D}^{tr}_S$ 上做标准条件语言建模,目标函数为 $$\mathcal{L}_{SFT}=-\mathbb{E}_{(x\oplus t, q, y^S)}\sum_{i=1}^{|y^S|}\log p_\theta(y^S_i|x\oplus t, q, y^S_{<i})$$ 输出为对齐了长响应格式但尚不具备触发区分能力的参考模型 $\pi_{ref}$。**步骤三:Stage II 触发感知 RL 优化(GRPO)**——在干净数据集与触发数据集的并集上做 GRPO 训练,每个 prompt 采样 $n$ 个响应并按组内归一化优势 $A_i=(r_i-\text{mean}(\{r_i\}))/\text{std}(\{r_i\})$ 更新策略,目标函数含 clipped ratio 与 KL 正则 $\gamma D_{KL}(\pi_\theta\|\pi_{ref})$;奖励函数 $$r(y)=\begin{cases}\alpha \cdot \text{len}(y)/l_{max}, & y\to(x\oplus t, q)\\ 1, & y\to(x,q), \text{len}(y)<\beta l_{max}\\ \text{len}(y)/l_{max}, & y\to(x,q), \text{len}(y)\geq \beta l_{max}\end{cases}$$ 其中 $l_{max}=8192$,$\alpha=2$,$\beta=18$(Appendix B 消融)。训练用 LoRA 仅调整 LLM 部分,4× A6000 48G GPU 完成 3B 模型 Stage II。

技术新颖性

SlowBA 的技术新颖性主要体现在四点。**新颖性一:首个效率后门攻击维度**——之前所有 VLM/GUI 后门工作(VisualTrap、BadSem、TrojVLM、VLOOD)都聚焦准确性,SlowBA 开辟了"让智能体变慢"这一新维度。**新颖性二:延迟-长度的相关性简化**——通过实证测量 GUI-R1 得到 Pearson $r=0.8059$(Fig. 2),证明可以用响应长度近似延迟,从而把难优化的延迟最大化问题转化为可优化的长度最大化问题。**新颖性三:两阶段解耦的 RBI 策略**——Stage I 解决"怎么生成"(格式),Stage II 解决"什么时候生成"(触发条件)。Table 2 消融显示仅 Stage I 时触发/干净长度差仅 6.54%(攻击失效),仅 Stage II 时干净响应反而更长(115s vs 46s,触发条件未形成),只有两阶段协同才能让触发输入长度(722.45 token)显著高于干净输入(157.56 token)。**新颖性四:自适应弹窗触发器**——用 VLM 自动提取网页域名的弹窗触发器比高斯噪声、纯色块更隐蔽,人类评估 50 张图中仅 0.058 平均异常率(Fleiss' $\kappa=0.74$),且攻击在不同 GUI 场景下通用(Web/Desktop/Android 全面生效)。

SlowBA 完整工作流
Fig. 3: SlowBA 完整工作流
触发器构造过程
Fig. 4: 触发器构造过程

实验结果

实验在三个数据集(Web、Desktop、Android)上系统验证 SlowBA。**主结果 Table 1**:SlowBA 在所有数据集和指标上一致地大幅超越基线——Web 数据集上 I-length 358.52%、I-latency 66.92%、I-energy 65.41%,远超最强基线 Verbose 的 6.42% / 2.81% / -51.93%;Desktop 数据集 I-length 256.50%、I-latency 143.06%、I-energy 31.40%;Android 数据集 I-length 178.14%、I-latency 191.23%、I-energy 25.14%。同时触发准确率与干净准确率差异很小(Desktop 34.9% vs 33.2%,Android 36.2% vs 38.4%),验证了隐蔽性。**Fig. 5** 进一步可视化触发输入 vs 干净输入下 SlowBA 与各基线的平均 token 数对比。**消融 Table 2**:仅 Stage I 时触发/干净长度几乎无差(829.62 vs 778.66 token),仅 Stage II 时干净响应反而更长(115.03s vs 46.30s),两阶段必须协同。**防御 Table 3**:SlowBA 在 Mean Filter(I-length 357.34%)、Median Filter(358.50%)、JPEG Compression(325.71%)、Quant int8(350.44%)、Spectral Signature(351.01%)、Beatrix(375.28%)等所有防御下攻击效果几乎不减(部分甚至上升),证明现有后门检测/输入净化方法对效率攻击失效。**可扩展性 Table 4**:GUI-R1-7B 上 I-length 242.00%、I-latency 103.47%、I-energy 41.79%,证明攻击可推广到更大模型。**模块消融 Table 5**:仅攻击 MLP 投影器时 I-length 降至 335.24%(轻度下降),仅攻击视觉编码器时 I-latency 反而上升到 70.75%,表明视觉模块对响应延迟有更强影响。**Grad-CAM 可视化 Fig. 6**:触发输入下注意力分布更分散,模型难以聚焦任务相关 token,从而陷入长推理。**人类评估**:30 位计算机专业硕博/工程师对 50 张触发图打 0/1 分,平均异常率仅 0.058,Fleiss' $\kappa=0.74$(高度一致)。**真实场景**:在 12306.cn 购票中,触发注入下买票需 15.47 秒(对照 8.98 秒),按新闻报道可能导致无票。**触发构造耗时**:Web 2.06 秒/张、Desktop 0.13 秒/张、Android 0.04 秒/张,满足高吞吐。

三个数据集上的主结果(Web、Desktop、Android × Clean、Gaussian、JPEG、Verbose、VisualTrap、SlowBA)
Table 1: 三个数据集上的主结果(Web、Desktop、Android × Clean、Gaussian、JPEG、Verbose、VisualTrap、SlowBA)
两阶段训练消融研究
Table 2: 两阶段训练消融研究
SlowBA 在 6 种防御下的表现
Table 3: SlowBA 在 6 种防御下的表现
在 GUI-R1-7B 上的扩展实验
Table 4: 在 GUI-R1-7B 上的扩展实验
攻击不同模块的对比(LLM / MLP / Visual)
Table 5: 攻击不同模块的对比(LLM / MLP / Visual)
Web 数据集上各方法触发/干净输入下的平均 token 长度柱状图
Fig. 5: Web 数据集上各方法触发/干净输入下的平均 token 长度柱状图
案例研究(两个对照样例)
Fig. 7: 案例研究(两个对照样例)
查看结构化数据
任务指标本文基线提升
Web 数据集(OmniAct-Web + GUI-Act-Web) I-length(响应长度增长率) 358.52% Verbose: 6.42% +55.8×
Web 数据集 I-latency(响应延迟增长率) 66.92% JPEG: -1.77% 差距显著
Web 数据集 I-energy(能耗增长率) 65.41% Verbose: -51.93% 反转并扩大
Web 数据集 触发准确率(triggered Acc) 49.3% Verbose: 2.86% 保留可用性同时实现强攻击
Desktop 数据集(Screenspot-pro) I-latency 143.06% JPEG: 15.83% +9.0×
Android 数据集(AndroidControl-Low) I-latency 191.23% VisualTrap: 16.12% +11.9×
GUI-R1-7B 模型扩展 I-latency 103.47% 3B 模型: 66.92% 在更大模型上攻击依然有效
Beatrix 后门检测防御下 I-length 375.28% 无防御: 358.52% 未被检测拦截
12306.cn 真实购票场景 任务耗时 15.47 秒(触发) 8.98 秒(干净) +72.3% 延迟,可能错过车票

局限与改进

作者承认的局限:(1)仅在 GUI-R1 一个 GUI 智能体上验证,其他智能体(如 Aguvis、ShowUI)的迁移性未测;(2)Stage II 的 RL 训练在 3B 模型上需 4 张 A6000 48G GPU,资源门槛较高,论文未开源训练超参数与奖励权重具体配置(Appendix B 仅给出数值);(3)触发器构造依赖 Qwen3-VL-8B 提取域名,对截图质量有要求,极端复杂的界面可能提取失败。作者未深入讨论但我观察到的局限:(4)Trigger 触发"激活率"未单独报告,仅用触发 vs 干净的均值差异体现,无法回答"100% 含触发器的输入是否全部变慢";(5)Stage I 训练语料由 VLM 自动生成,可能引入 VLM 自身的"幻觉"和固定句式,限制了响应长度增长的理论上限;(6)防御评估仅在已有方法上加测,未提出针对效率攻击的新型防御(如响应长度阈值检测、token 异常分布检测);(7)攻击对模型版本/训练随机性的鲁棒性未讨论;(8)"延迟"的测量包含 GPU 启动等固定开销,相对增长率可能高估了实际推理开销。

独立分析的弱点

**弱点一:触发器覆盖范围有限**——SlowBA 用红色矩形标识的弹窗触发器虽然对人类隐蔽(异常率 0.058),但形态相对单一(仅通知/更新/权限三类),攻击者可被针对性检测。改进方向是引入更丰富的触发器族(如不同颜色/位置/动画的弹窗)并研究触发器多样性下的攻击稳定性。**弱点二:奖励函数设计依赖超参数**——$\alpha=2$、$\beta=18$、$l_{max}=8192$ 是经验值(Appendix B 消融),未给出系统超参搜索过程,对不同模型的迁移可能需要重新调整。改进方向是自适应超参或归一化奖励,让 $\alpha, \beta$ 与模型基础响应长度挂钩。**弱点三:仅验证 GUI-R1**——现代 GUI 智能体多样(Aguvis、ShowUI、OS-Atlas 等),SlowBA 是否在其他智能体上同样有效未知。改进方向是补充多智能体实验并对比其 SFT/RL pipeline 的差异。**弱点四:Stage I 的长响应语料来自 VLM 自动生成**——Qwen3-VL 的输出风格限制了"长"的形式(可能存在重复句式),且 VLM 自身的冗长倾向可能与 SlowBA 想要引导的"长但合理"有偏差。改进方向是引入人类标注或多模型集成生成长响应语料。**弱点五:缺乏理论分析**——论文仅实证说明 Stage I+Stage II 缺一不可,未给出为何两阶段协同优于单阶段的理论解释(如损失景观分析、模式连通性等)。改进方向是从优化理论角度给出收敛性证明或模式分析。**弱点六:延迟测量方法不透明**——Appendix D 中对 latency 和 energy 的具体测量方法(含/不含 prefill、是否含 GPU kernel launch 等)描述不清,影响复现公平性。

未来方向

作者提出的未来方向:(1)将攻击迁移到更大规模 GUI 智能体(如 13B+)和多智能体框架;(2)探索除弹窗外的其他 GUI 风格触发器(验证码、Cookie 横幅等);(3)将 RBI 策略推广到其他效率相关的攻击场景(如 GPU 显存耗尽、token 速率限制)。基于成果可延伸的方向:(4)针对 SlowBA 设计防御机制——例如响应长度异常检测(监控每个 query 的输出 token 数,超过阈值报警)、KL 散度异常检测(比较 Stage II 输出与参考模型的分布差异)、触发器模式识别(基于 Qwen3-VL 提取通知文本并匹配已知攻击库);(5)扩展 SlowBA 攻击至其他 VLM 任务(OCR、视觉问答)的效率操控;(6)研究"攻击者只能调少量参数"的更弱威胁模型下的可行变体;(7)从博弈论角度分析防御者与攻击者的纳什均衡,为未来防御设计提供理论指导;(8)扩展到多模态/多智能体协同场景中的级联效率攻击。

复现评估

**代码与数据**:作者声明代码已在 https://github.com/tu-tuing/SlowBA 开源,模型基线 GUI-R1 也完全开源(基于 Qwen2.5-VL)。**复现难度**:中等偏难——Stage I 的长响应语料需调用 Qwen3-VL-8B 自行生成(论文给出 prompt 在 Appendix A),Stage II 的 RL 训练依赖 Verl 框架和 4 张 A6000 48G GPU(论文明确指出 3B 版本 Stage II 至少需 4 卡),主实验训练时间应在数小时量级。**数据集**:直接使用 GUI-R1 官方仓库的三个数据集(OmniAct-Web、GUI-Act-Web、Screenspot-pro、AndroidControl-Low),无需额外标注。**超参数**:除奖励权重 $\alpha, \beta$、$l_{max}$ 外,训练 learning rate、batch size、epoch 数在 Appendix E 中给出,poisoning ratio 设为 0.1 沿用 VisualTrap 设置。**潜在风险点**:(1)Qwen3-VL-8B 提取域名准确率依赖截图清晰度,作者提到有少量需要人工修正;(2)GRPO 训练随机性可能导致结果波动,建议多次随机种子取平均;(3)Stage II 资源门槛对普通研究者较高。**总体评估**:对有 GUI-R1 训练经验和 A6000 集群的研究组可复现,对资源受限团队门槛较高。