지속 가능한 백도어: VLA 모델을 한 번 주입하고 끝내기

초록

INFUSE는 Vision‑Language‑Action(VLA) 기반 로봇 시스템에 대한 새로운 백도어 공격 프레임워크이다. 파인튜닝 과정에서 거의 변하지 않는 모듈을 사전 분석해 이들에만 악성 트리거를 주입하고, 나머지 파라미터는 고정한다. 결과적으로 사용자가 사후에 클린 데이터로 파인튜닝하더라도 백도어가 90% 이상 유지되며, 정상 작업 성능은 거의 손실되지 않는다.

상세 분석

본 논문은 VLA 모델이 로봇 제어라는 물리적 환경에 직접 연결돼 있기 때문에 백도어가 실제 안전 위협으로 이어질 수 있다는 점을 강조한다. 기존 연구인 BadVLA는 파인튜닝 단계에서 백도어가 크게 사라지는 문제를 가지고 있었으며, 이는 파라미터가 전역적으로 업데이트되기 때문이다. INFUSE는 “파인튜닝‑인센시티브 모듈”이라는 개념을 도입해 이 문제를 근본적으로 해결한다.

먼저, 저자들은 다양한 다운스트림 환경(Spatial, Goal, Object, LIBERO‑10, 실제 로봇 궤적)에서 파인튜닝 전후의 파라미터 변화를 세 가지 지표로 측정한다. ① 평균 절대 파라미터 차이(MAD) ② Fisher‑정규화 차이(FND) ③ CKA 기반 활성화 이동(AS)이다. 각각을 로그 변환 후 min‑max 정규화하고 가중합(α=β=γ=1)으로 통합해 모듈별 안정성 점수 S_i를 산출한다. 이 점수가 낮은 모듈, 즉 Vision Backbone, Vision Projector, LLM Backbone은 파인튜닝 시 100~1000배 적은 변화만을 보이며, 반대로 Action Head와 Proprio Projector는 큰 변화를 겪는다.

다음 단계에서는 식별된 인센시티브 모듈만을 대상으로 백도어 학습을 진행한다. 트리거는 실제 물체(예: 파란색 머그) 형태로 삽입하고, 해당 상황에서 수행해야 할 악성 행동(y*)을 지정한다. 손실 함수는 클린 데이터에 대한 일반 손실과 트리거 데이터에 대한 강화 손실을 λ로 가중합한 형태이며, 파라미터 업데이트는 인센시티브 모듈에만 제한한다. 이렇게 하면 파인튜닝 시 고정된 모듈은 거의 변하지 않아 백도어가 그대로 남는다.

실험 결과는 설득력 있다. 시뮬레이션 환경(LIBERO)에서는 파인튜닝 후 평균 공격 성공률(ASR)이 91.0%에 달했으며, 실제 로봇 실험에서는 79.8%를 기록했다. 이는 BadVLA가 동일 조건에서 38.8%·36.6%에 머물렀던 것과 큰 격차다. 또한 클린 작업 정확도는 95.0%로, 원본 모델(96.4%)과 거의 차이가 없었다. 추가적인 ablation 실험에서는 모듈 선택 기준을 바꾸거나 전체 파라미터를 업데이트했을 때 ASR이 급격히 감소함을 보여, 인센시티브 모듈 선택이 핵심임을 입증한다.

방어 측면에서도 INFUSE는 일반적인 파라미터 스무딩, 뉴럴 클리닝, 입력 변조 방어에 강인함을 보였다. 이는 백도어가 모델 내부 깊은 레이어에 숨겨져 있어 표면적인 방어 기법으로는 탐지·제거가 어렵기 때문이다. 한계점으로는 트리거 물체가 물리적으로 눈에 띄어 사람에 의해 쉽게 인지될 수 있다는 점과, 매우 큰 규모의 파인튜닝(예: 전체 파라미터를 100배 이상 업데이트)에서는 여전히 백도어가 약화될 가능성이 있다는 점을 언급한다.

전반적으로 INFUSE는 VLA 모델의 파인튜닝 특성을 정량적으로 분석하고, 이를 활용해 지속 가능한 백도어를 구현한 최초의 연구로 평가된다. 향후 연구는 트리거 은폐 기법, 방어 메커니즘 설계, 그리고 다른 멀티모달 제어 시스템(예: 음성‑로봇)으로의 확장을 탐구할 여지를 남긴다.