BadWAM: новая атака обманывает модели мира и действий роботов

BadWAM: новая атака обманывает модели мира и действий роботов

Модели мира и действий (world-action models, WAM), перспективный подход к управлению роботами и другими физическими агентами. В отличие от моделей, которые просто предсказывают действие, WAM учится связывать выбор действия с предсказанием будущего состояния мира: система как бы «представляет», что произойдёт после её шага, и это считалось источником устойчивости, интерпретируемости и безопасности, ведь действие робота в теории можно сверить с тем, что он сам предсказал.

Авторы статьи показывают, что это допущение хрупкое. Они представили BadWAM, единую платформу для построения и оценки нового класса атак, специфичных именно для WAM: World-Action Drift Attacks (атаки рассинхронизации мира и действия). Смысл атаки, небольшими визуальными помехами на входе разорвать связь между тем, что модель «воображает», и тем, что она реально исполняет.

В BadWAM выделены два режима атаки. Первый, action-only (только действие), рассчитан на максимальный урон: помеха напрямую толкает модель к провальному для задачи действию, не заботясь о правдоподобии предсказанного будущего. Второй, imagination-preserving (сохраняющий воображение), рассчитан на скрытность: атака старается сдвинуть действие модели на вредное, но при этом удержать предсказанное моделью будущее близким к «чистому», незаражённому предсказанию, то есть внешне модель продолжает выглядеть так, будто всё идёт по плану.

Авторы протестировали BadWAM на нескольких вариантах WAM в режиме замкнутого цикла (closed-loop execution, когда модель действует и получает обратную связь на каждом шаге). Атака action-only обрушила долю успешно выполненных задач с 96,5% до 43,1%. Отдельный вывод касается стелс-атаки: умеренная регуляризация, удерживающая предсказанное будущее близким к реальному (future-preserving regularization), позволяет одновременно сохранять высокую эффективность атаки и снижать заметный «дрейф» предсказания, то есть скрытную версию атаки труднее поймать именно через сверку предсказания с действием, хотя формально это и была главная идея безопасности WAM.

Ключевые факты

  • BadWAM, единая платформа для построения и оценки нового класса атак на модели мира и действий (WAM), названного World-Action Drift Attacks
  • Атака малыми визуальными помехами разрывает связь между тем, что WAM «представляет» как будущее, и тем действием, которое модель реально выполняет
  • Режим action-only бьёт по успешности задачи напрямую: доля успешных выполнений падает с 96,5% до 43,1% в замкнутом цикле управления
  • Режим imagination-preserving скрытный: сдвигает действие на вредное, но сохраняет предсказанное моделью будущее правдоподобным
  • Умеренная регуляризация, сохраняющая предсказание будущего, позволяет одновременно удерживать эффективность атаки и снижать заметность дрейфа, ключевая проблема именно для WAM-архитектуры

Почему это важно

Модели мира и действий преподносились как более безопасный подход к управлению роботами: раз система сама предсказывает будущее, её действие можно сверять с этим предсказанием и ловить сбои. Статья показывает, что эта опора хрупкая, существует специальный класс атак, который ломает именно эту связку, а не модель вообще.

Кому это важно

Разработчикам и исследователям embodied ИИ и робототехники, которые строят или оценивают WAM-архитектуры; командам, отвечающим за безопасность физических ИИ-агентов (роботов, манипуляторов, автономных систем), которым предстоит учитывать этот новый класс атак при проектировании и тестировании.

Как это применить

BadWAM можно использовать как инструмент для стресс-тестирования собственных WAM-моделей до развёртывания: прогнать оба режима атаки (action-only и imagination-preserving) и посмотреть, насколько падает успешность задач в замкнутом цикле. Авторы также указывают направление частичной защиты, умеренная регуляризация, удерживающая предсказание будущего близким к реальному, но отмечают, что она не устраняет уязвимость полностью.

Можно ли доверять

Это исследовательская статья (препринт, размещённый на HuggingFace Papers), результаты получены на нескольких вариантах WAM в контролируемых экспериментах с конкретными числовыми показателями (падение успешности с 96,5% до 43,1%). Данных о независимой проверке или промышленном применении в тексте нет, это ранняя академическая работа, а не отчёт о реальном инциденте.

Риски и подводные камни

Ключевой риск, скрытность: режим imagination-preserving специально проектируется так, чтобы предсказанное моделью будущее оставалось правдоподобным, а значит, стандартная проверка «действие против воображаемого будущего» может не заметить атаку. Для физических систем (роботов) это означает, что небольшая, незаметная человеку помеха на входе способна привести к провалу задачи без явного сигнала тревоги от самой модели.