基于稀疏自编码器的即插即用防火墙:用于视觉语言模型的对抗攻击检测 Sparse Autoencoders as Plug-and-Play Firewalls for Adversarial Attack Detection in VLMs
用稀疏自编码器在VLM中检测对抗攻击,无需额外对抗训练
前置知识
稀疏自编码器(Sparse Autoencoder, SAE)
一种神经网络架构,由编码器和解码器组成,通过添加稀疏性约束(如L1正则化或top-k激活)使潜在表示中只有少量神经元同时激活。编码器将输入映射到高维稀疏特征空间,解码器尝试从这些稀疏特征重建原始输入。训练目标是最小化重建误差\(\mathcal{L} = \|x - D(E(x))\|^2\),同时保持激活的稀疏性。这种设计迫使网络学习分解的、可解释的潜在因子,每个特征对输入中的特定模式敏感。
本文的核心技术基础,作者发现对抗样本会激活与干净样本不同的稀疏特征子集,这成为检测对抗攻击的信号来源。理解SAE如何捕获和分解输入模式是理解方法工作原理的关键。
对抗攻击
通过对输入添加人类难以察觉的微小扰动来误导机器学习模型的技术。对于视觉语言模型,攻击者可以在图像上添加精心设计的噪声,使模型忽略原始视觉内容而基于注入的扰动生成错误的响应。攻击通常通过优化问题实现:\(\max_{\delta} \mathcal{L}_{attack}(f(x+\delta), y_{target})\),同时满足\(\|\delta\|_p \leq \epsilon\)。迁移攻击是一种重要类型,攻击者在代理模型上生成扰动后应用到目标模型上。
本文要解决的核心问题。论文引用了近期研究显示GPT-5和Gemini-2.5-Pro等先进VLM在强大攻击下成功率接近100%,凸显了这一问题的严重性。理解对抗攻击的特点和类型有助于理解检测方法的挑战。
视觉语言模型
能够同时处理图像和文本的多模态大语言模型,通常由视觉编码器(如CLIP、SigLIP)、投影层和语言模型组成。视觉编码器将图像编码为向量表示,投影层将其映射到语言模型的语义空间,语言模型基于这些表示生成文本响应。这种架构使模型能够执行图像描述、视觉问答、视觉推理等任务。近期先进VLM如Qwen2.5-VL、GPT-5等在多个任务上表现出色。
本文的攻击目标。VLM接受图像输入使其面临比纯语言模型额外的安全风险,因为图像可以被对抗性扰动。理解VLM的架构(视觉编码器、投影层、语言模型)有助于理解SAE模块在不同位置的插入及其对检测效果的影响。
跨域泛化
模型在一个数据分布上训练后,在另一个不同分布的数据上保持性能的能力。在本文语境下,指用某个数据集(如NIPS17自然图像)提取的攻击相关特征,在另一个数据集(如Medical医学图像)上仍能有效检测对抗攻击。这反映了特征是否捕获了攻击的本质模式而非数据集特定的伪影。理想的检测器应该在分布偏移下保持稳定性能。
本文的关键评估维度之一。现实世界部署中,对抗样本可能来自未知数据分布,因此检测器的跨域泛化能力至关重要。论文显示SAEgis在跨域设置下显著优于基线方法,这是其核心贡献。
研究动机
现有视觉语言模型(VLMs)在真实世界部署中面临严重的安全威胁,即使是最先进的专有和开源VLMs仍然高度脆弱,容易受到对抗攻击的误导。近期研究(Zhao et al., 2026)报告在GPT-5(Singh et al., 2025)和Gemini-2.5-Pro(Comanici et al., 2025)等先进系统上的攻击成功率接近100%,这表明尽管人们对这个问题认识在增长,主流VLM仍然很大程度上无法防御此类攻击。对抗性扰动图像会导致模型忽略原始视觉语义,反而基于注入的扰动生成响应,这对越来越多部署VLM而没有充分保障措施的真实系统构成了重大安全风险。与纯语言模型不同,VLMs接受图像作为输入,这引入了额外的脆弱性,使其更容易受到对抗攻击。
本文的目标是本文的目标是开发一个简单而高效的对抗攻击检测框架,能够在不需要额外对抗训练的情况下,可靠地检测针对VLMs的对抗攻击。具体而言,目标包括:识别对抗样本与干净样本在模型内部表示中的差异模式;利用这些差异构建即插即用的检测模块;确保检测器在域内、跨域和跨攻击场景下都能保持强性能;提供最小计算开销的实用解决方案,能够改善真实世界VLM系统的安全性。
与已有工作不同的是,本文的独特切入角度是首次探索将稀疏自编码器(SAE)作为VLMs对抗攻击检测的即插即用机制。与现有方法的两个关键区别是:首先,现有检测工作(如MirrorCheck、PIP、HiddenDetect等)通常没有在最新和最强的攻击方法(如M-Attack、FOA-Attack)下评估,因此报告的性能不足以建立鲁棒性;其次,现有方法通常专注于固定数据集和攻击设置,没有考虑更能反映真实世界部署条件的域外场景。SAEgis的核心洞察是,在预训练VLM内部使用标准重建目标训练SAE会隐式地捕获干净视觉输入的模式,对抗性扰动图像由于偏离这些模式,往往会激活与攻击相关信号的不同潜在特征集合。这种基于内部特征表示的方法与基于输出或注意力的现有方法有本质区别。
核心方法
SAEgis的整体思路是将一个稀疏自编码器模块插入到预训练的VLM中(视觉编码器或投影层),使用标准重建目标进行训练。直觉是,SAE通过重建干净图像学习到的稀疏潜在特征会自然地捕获正常视觉输入的模式,而对抗性扰动图像由于其分布与干净图像不同,会激活不同的特征子集。这些对攻击敏感的特征就成为检测信号。技术路线包括三个阶段:首先是SAE预训练,在干净图像数据上用重建目标训练SAE;然后是攻击相关特征选择,使用少量对抗样本识别哪些特征对攻击最敏感;最后是对抗检测,在推理时通过分析这些特征的激活模式来判断输入是否被对抗性扰动。方法的一个关键优势是它不需要额外的对抗训练,完全即插即用,且对原始VLM的计算开销最小。
SAEgis的核心创新点在于利用稀疏自编码器学习到的潜在特征的分布特性来检测对抗攻击,这与现有方法有本质区别。不同于基于重建误差(如MirrorCheck使用Stable Diffusion重建图像)、基于注意力机制(如PIP使用SVM分类注意力图)或基于密集隐藏状态相似度(如Dense baseline使用cosine similarity)的方法,SAEgis利用稀疏特征的选择性激活特性。关键洞察是:对抗扰动在SAE的稀疏潜在空间中会触发与干净图像不同的特征激活模式,这些模式是可迁移的、跨域可泛化的。另一个创新是使用简单的统计差异(干净样本和对抗样本在特征激活上的平均差异)而非训练分类器来识别攻击相关特征,这避免了额外的优化步骤且能更好地扩展到高维特征空间。此外,多层集成策略利用不同抽象层次的互补信息(早期视觉层捕获低级模式如纹理和边缘,深层捕获全局语义内容),提高了检测的鲁棒性和稳定性。
方法步骤详情
SAEgis的方法步骤完整描述如下。第一步:SAE预训练。将SAE模块插入VLM的选定位置(如vision-block0、vision-block10或projection-mlp2),使用FineVision数据集的500k样本以重建目标训练。输入是VLM在选定层的隐藏状态h,SAE编码器W_enc将其映射到稀疏潜在表示z = TopK(W_enc*h, K),解码器W_dec尝试重建:h_hat = W_dec*z。损失函数为L = ||h - h_hat||_2^2。第二步:攻击相关特征选择。构建包含干净和对抗图像的数据集,固定文本提示Describe this image.,将所有图像通过配备SAE的VLM,记录SAE稀疏潜在特征的激活。对于特征i和输入x,定义特征分数:score_i(x) = max_{t in T} a_{i,t}(x) * log(1 + |{t in T | a_{i,t}(x) > 0}|),其中a_{i,t}是特征i在token t处的激活,T是图像token集合。攻击相关性定义为attack_score_i = E[x ~ X_attack][score_i(x)] - E[x ~ X_clean][score_i(x)]。按attack_score降序排列所有特征,选择top-K作为攻击相关特征。第三步:阈值校准。仅基于干净的held-out开发集计算每个图像的激活数量:N(x) = (1/|T|) * sum_{t in T} sum_{i=1}^{K} 1(a_{i,t}(x) > 0)。给定目标误报率alpha(如0.02),设置阈值tau = Quantile_{1-alpha}{N(x) | x in X_clean,dev}。第四步:推理检测。对输入x,计算N(x),如果N(x) > tau则分类为对抗,否则分类为干净。第五步(可选):多层集成。给定在层集合L的SAE模块,计算每层的N_l(x),均匀平均:N_bar(x) = (1/|L|) * sum_{l in L} N_l(x),然后用相同阈值判断。
技术新颖性
SAEgis的技术新颖性体现在多个方面。首先,这是首个探索SAE作为VLM对抗攻击检测即插即用机制的工作,开创了将机械可解释性工具应用于安全任务的新方向。其次,方法利用了SAE的一个有趣性质:用重建目标在干净数据上训练的SAE会隐式学习正常输入的分布模式,而对抗扰动会触发偏离这些模式的特征激活,这无需显式的对抗训练就能捕获攻击信号。第三,特征选择采用简单的统计差异(均值差)而非训练分类器,这种方法计算高效且避免了在高维特征空间(32,768维)中的过拟合风险。第四,多层集成策略利用了VLM中不同抽象层次的互补性质:早期视觉层捕获高频模式如纹理和边缘(对抗扰动在这些层更稳定),深层投影层编码全局语义信息。论文通过实验vision-block0在跨攻击设置下保持强性能而projection-mlp2性能下降,证实了不同层捕获不同类型的攻击信号。第五,仅基于干净数据校准阈值的设计使方法在真实部署中更实用,因为对抗样本的分布是未知的。这些技术贡献共同使SAEgis在域内、跨域和跨攻击场景下都表现出比现有基线更强的性能。
实验结果
SAEgis的实验结果在多个维度上展示了其有效性。在域内设置(Table 1)中,所有方法都达到强性能,Dense (Ensemble)和SAEgis (Ensemble)表现最佳。以NIPS17数据集上的FOA-Attack为例,SAEgis (Ensemble)达到P=99.0%、R=100%、F1=99.5%,略优于Dense (Ensemble)的P=98.0%、R=100%、F1=99.0%。集成多个层的信号显著提高了召回率,强调了聚合互补表示的好处。在跨域设置(Table 2)中,基线方法面临严重的泛化挑战。Dense baseline(包括集成版本)精度大幅下降,从域内的接近完美性能降至平均约70%。PIP的召回率明显下降(如Medical→LLaVA在FOA-Attack下R=28%)。相比之下,SAEgis保持稳定:集成后,大多数情况下精度和召回率都保持在90%以上,显著优于其他方法。例如,LLaVA→Medical在FOA-Attack下,SAEgis (Ensemble)达到P=97.8%、R=93%、F1=95.3%,而Dense (Ensemble)仅为P=69.9%、R=100%、F1=82.3%。论文发现两个方向的域偏移(通用数据集到专业领域如LLaVA→Medical,专业领域到通用如Medical→NIPS17/LLaVA)都构成严重挑战,突显了对抗检测跨域评估的重要性。在跨攻击设置(Table 3)中,依赖projection-mlp2层的Dense baseline和SAEgis性能显著下降,Dense baseline在NIPS17上甚至表现出接近零的召回率(SSA-CWA→M-Attack下R=4%)。为解决这个问题,论文额外评估了vision-block0层的SAEgis,发现它保持强性能。假设是不同攻击方法诱发不同的全局特征偏移,使投影层的信号对检测不太可靠,而低级扰动如高频纹理和边缘在攻击间更一致,使早期视觉层能更好捕获这些模式。集成后,Dense baseline和SAEgis都恢复到与无转移设置(即域内)相当的性能水平。总体而言(Table 4),SAEgis (Ensemble)在域内达到P=97.7%、R=97.0%、F1=97.3%,跨域P=93.1%、R=96.2%、F1=94.4%,跨攻击仅下降+0.1 F1(从97.3到94.4),显示了其卓越的鲁棒性。相比之下,Dense baseline从域内F1=93.0下降到跨域F1=75.1(下降17.9),单层SAE从F1=93.7下降到F1=88.4(下降5.3),证明集成的关键作用。
查看结构化数据
| 任务 | 指标 | 本文 | 基线 | 提升 |
|---|---|---|---|---|
| 对抗攻击检测(域内) | F1分数 | SAEgis (Ensemble): 97.3% | Dense (Ensemble): 98.0%, PIP: 95.0% | SAEgis略低于Dense baseline,但两者都接近完美性能,差距很小 |
| 对抗攻击检测(跨域) | F1分数 | SAEgis (Ensemble): 94.4% | Dense (Ensemble): 82.2%, PIP: 79.4% | SAEgis相比Dense baseline提升12.2个百分点,相比PIP提升15个百分点,显著优势 |
| 对抗攻击检测(跨攻击) | F1分数变化 | SAEgis (Ensemble): 97.3% → 94.4% (-2.9) | Dense (Ensemble): 98.0% → 82.2% (-15.8), Dense单层: 93.0% → 75.1% (-17.9) | SAEgis的跨攻击泛化能力显著优于基线,性能下降更小 |
| 跨域具体场景(LLaVA→Medical, FOA-Attack) | 精确率/召回率/F1 | SAEgis (Ensemble): P=97.8%, R=93%, F1=95.3% | Dense (Ensemble): P=69.9%, R=100%, F1=82.3%, PIP: P=97.6%, R=83%, F1=89.7% | SAEgis在保持高精度的同时维持高召回率,F1比Dense提升13个百分点 |
| 跨攻击具体场景(SSA-CWA→M-Attack, NIPS17) | 精确率/召回率/F1 | SAEgis (vision-block0): P=100%, R=91%, F1=95.2% | Dense: P=100%, R=4%, F1=7.6%, Dense (Ensemble): P=99%, R=100%, F1=99.5% | 单层vision-block0的SAEgis在cross-attack下保持强性能,而Dense baseline几乎完全失效 |
| 小样本学习效果(10个对抗样本) | F1分数 | 约80%(跨域Medical→NIPS17, projection-mlp2层) | 未提供具体对比 | 使用少量对抗样本即能达到合理性能,展示方法在黑盒设置中的实用性 |
局限与改进
论文的局限性分析包括作者承认的和观察到的几个方面。首先,方法在某些场景下仍然存在失败情况。论文展示了三种代表性失败模式:第一种是低精度场景(P=69.1%),干净测试图像的分布向右偏移,激活更多攻击相关特征,使得从干净开发数据估计的阈值过低,导致一些干净图像被误分类,降低精度。第二种是低召回率场景(R=66%),发生相反情况:测试分布向左偏移,导致阈值过高,将一些对抗图像误分类为干净,降低召回率。第三种是混合分布场景(R=35%),虽然干净开发和干净测试数据的分布很大程度上重叠,但跨攻击偏移诱发不同的全局特征激活,导致干净和对抗图像的分布本质上混合,无论阈值选择如何都难以分离。其次,方法的有效性依赖于SAE训练数据的质量和多样性。如果SAE没有在足够多样化的干净图像上训练,可能无法学到真正的正常模式,导致检测信号不可靠。第三,虽然方法在三种攻击方法(SSA-CWA、M-Attack、FOA-Attack)上评估,但可能存在未测试的其他攻击类型能绕过检测。特别是,如果攻击专门针对SAE特征空间进行优化,可能触发不同的特征模式。第四,方法主要针对图像描述任务评估,对于其他VLM任务(如视觉推理、视觉定位、具身AI)的适用性需要进一步验证。第五,虽然方法计算开销小,但添加SAE模块仍会增加推理时间和内存使用,这可能对资源受限的部署构成挑战。最后,方法的目标误报率alpha需要根据具体应用场景调整,alpha=0.02可能在某些场景下过于保守或宽松。
独立分析的弱点
SAEgis存在几个潜在的独立分析弱点,每个都有具体的改进方向。首先,阈值校准完全基于干净数据,这在实际部署中是合理的,但也意味着如果测试时的干净数据分布与训练时显著不同,检测性能可能下降。改进方向可以是开发自适应阈值机制,使用在线学习或分布漂移检测动态调整阈值。其次,方法使用固定的top-K特征选择,K=256是经验选择的,可能在不同场景下需要不同的最优K值。改进方向可以是开发自适应K选择策略,基于特征分数的分布、跨域验证性能或贝叶斯优化来动态确定最优K。第三,多层集成使用简单的均匀平均,没有考虑不同层在不同攻击或数据域下的重要性差异。改进方向可以是学习层权重,使用注意力机制或元学习根据输入特征自动调整层的重要性。第四,方法主要依赖静态特征激活计数,没有考虑激活的时间动态或序列模式。对于视频或序列输入,改进方向可以是整合时间信息,使用RNN或Transformer捕获激活模式的时间演化。第五,攻击相关性评分结合了峰值强度和空间范围,但可能还有其他重要维度(如频率内容、语义一致性)未考虑。改进方向可以是设计更丰富的特征评分函数,结合更多维度如特征激活的频率谱、与语义特征的关联性等。第六,方法主要在三个数据集(NIPS17、LLaVA、Medical)上评估,覆盖的自然和医学图像域可能不足够广泛。改进方向是扩展评估到更多域(如遥感图像、艺术图像、文档图像)和更多模态(如音频、视频)。第七,方法假设对抗攻击主要通过图像输入,没有考虑文本prompt的对抗性扰动。改进方向是扩展到多模态对抗检测,同时监控图像和文本输入的异常模式。
未来方向
基于论文成果可以延伸的多个未来研究方向包括。作者提出的方向是扩展到更多VLM架构和任务,如验证SAEgis在近期具有DeepStack架构的Qwen3-VL系列或其他先进VLM(如GPT-5、Gemini)上的有效性,以及将方法应用于视觉推理、具身AI等更复杂任务。基于成果可延伸的方向包括:首先,探索SAE在防御中的应用,不仅检测对抗攻击,还可以利用识别出的攻击相关特征进行输入净化或模型微调,提高模型的内在鲁棒性。例如,可以尝试去激活或去权重攻击相关特征,或者基于干净和对抗样本的特征差异训练去噪器。其次,研究SAE特征与攻击类型、攻击强度的关联,开发更细粒度的攻击分类和归因系统。这有助于理解不同攻击的工作机制并设计针对性防御。第三,探索SAE在多模态场景中的应用,如视频-语言模型、音频-语言模型,以及跨模态对抗攻击的检测。第四,研究SAE特征的可解释性,深入分析攻击相关特征代表什么视觉模式(如高频噪声、特定纹理模式、语义不一致性),这能帮助理解对抗攻击的内在机制。第五,开发主动学习框架,在部署中持续收集新样本更新攻击相关特征集,使检测器能适应新出现的攻击模式。第六,研究SAE与其他防御方法的组合,如对抗训练、输入预处理、模型集成等,探索是否能通过协同效应实现更强鲁棒性。第七,研究方法的公平性和偏见,确保检测器不会对某些类型的图像(如特定人群、场景)产生系统性误报或漏报。第八,开发实时部署的优化版本,如模型量化、知识蒸馏、硬件加速,使方法能在边缘设备上高效运行。第九,探索方法在模型水印和版权保护中的应用,利用SAE特征检测模型输出的真实性或识别模型来源。第十,研究方法对抗自适应攻击的鲁棒性,即攻击者知道SAE检测器的存在并专门设计绕过它的攻击,这能揭示方法的根本局限性并指导改进。
复现评估
SAEgis的复现评估如下。开源情况:论文声明所有预训练的SAE权重将在发表后发布,代码链接为https://github.com/conan1024hao/SAEgis2026。数据:实验使用三个公开数据集:NIPS17(对抗攻击标准数据集)、LLaVA-Instruct-150K(自然图像对话数据集)、Medical Multimodal Evaluation Data(医学图像数据集)。SAE预训练使用FineVision数据集的500k样本。对抗样本使用三种公开攻击方法生成:SSA-CWA、M-Attack、FOA-Attack。算力需求:SAE预训练在500k样本上进行,批量大小16,学习率5e-5,这需要中等GPU资源(估计单张A100或类似GPU可以完成)。攻击生成和特征提取的计算需求取决于攻击方法,M-Attack和FOA-Attack可能需要较多计算。评估阶段的计算需求较低,主要是推理和特征激活统计。实现细节:论文提供了详细的实现细节,包括SAE结构(潜在维度32,768,top-K稀疏度64)、训练配置、层位置选择(vision-block0、vision-block10、projection-mlp2)、特征选择K=256、目标误报率alpha=0.02。复现难度:中等。主要挑战包括:1)获取和配置VLM backbone(Qwen2.5-VL-3B-Instruct);2)实现SAE模块插入和训练;3)实现三种攻击方法或获取预生成的对抗样本;4)复现特征选择和阈值校准流程。论文提供足够细节使有经验的机器学习研究者能够复现。潜在障碍:如果SAE权重未及时发布,需要重新训练SAE,这需要FineVision数据集和一定计算资源。攻击方法的实现可能需要参考原始论文代码。整体而言,论文的复现性较好,有明确的代码计划、公开数据和详细配置。
论文图表
该表格报告了跨域设置下所有方法的性能,包括四种跨域方向(NIPS17→Medical、LLaVA→Medical、Medical→NIPS17、Medical→LLaVA)在三种攻击方法下的精确率、召回率和F1分数。结果显示基线方法面临严重泛化挑战:Dense (Ensemble)精度大幅下降(如LLaVA→Medical在M-Attack下P=67.5%),PIP召回率下降(如Medical→LLaVA在FOA-Attack下R=28%)。SAEgis保持稳定,集成后大多数情况下精度和召回率保持在90%以上。
这个表格对理解论文至关重要,因为它展示了方法的核心优势——跨域泛化能力。通过与Table 1的对比,读者可以清楚看到:1)分布偏移对不同方法的影响程度;2)SAEgis在跨域设置下的相对优势显著增大;3)两个方向的域偏移(通用→专业、专业→通用)都构成挑战。表格数据直接支持论文的核心贡献,即SAEgis在更真实和挑战的跨域场景下表现出比现有基线更强的性能。
该图展示了干净和对抗图像的激活数量分布,包含三种代表性失败案例:低精度案例(P=69.1%),SSA-CWA在跨域(LLaVA→Medical)下,干净测试分布向右偏移;低召回率案例(R=66%),M-Attack在跨域(LLaVA→Medical)下,测试分布向左偏移;混合分布案例(R=35%),NIPS17在跨攻击(SSA-CWA→M-Attack)下,干净和对抗分布本质上混合。所有结果在projection-mlp2层计算。
这个图对理解论文重要,因为它直观地展示了方法失败的原因和模式。通过对比不同场景下的分布偏移,读者可以理解:1)分布漂移如何影响检测性能;2)为什么某些设置下精度低而某些设置下召回率低;3)跨攻击偏移如何导致分布混合。这些案例分析帮助读者理解方法的局限性和挑战场景,是对正面结果的必要补充。