向量搜索可以通过分析模型为输入生成的内部表示(嵌入)来帮助检测自动驾驶汽车深度学习模型中的后门攻击。 当模型被训练为在大多数输入上表现正常,但在出现特定触发器(例如,停车标志上的贴纸)时表现异常时,就会发生后门攻击。 这些触发器通常会导致模型的内部特征向量与正常输入的聚类方式不同。 通过使用向量搜索技术,开发人员可以比较测试输入的嵌入,以识别偏离预期行为的异常模式或聚类,从而标记潜在的后门。
例如,考虑一个训练用于识别交通标志的自动驾驶模型。 如果攻击者插入一个由停车标志上的小黄色方块触发的后门,则该模型可能会错误地将其分类为限速标志。 为了检测到这一点,开发人员可以从模型的中间层提取测试图像(包括干净的和触发的)的嵌入。 使用像 FAISS 或 ScaNN 这样的向量搜索工具,他们可以计算这些嵌入之间的相似度分数。 触发的输入可能会在嵌入空间中形成一个不同的聚类,与正常的停车标志分开。 像 k 近邻 (k-NN) 或基于密度的聚类 (例如,DBSCAN) 这样的技术可以突出显示此类异常。 此外,将测试嵌入与干净的训练数据嵌入的基线进行比较,可以揭示异常值——与它们预期类别的聚类异常遥远的输入,表明存在触发器。
然而,存在实际挑战。 攻击者可能会设计巧妙地改变嵌入以逃避检测的触发器,从而要求开发人员分析多个模型层或将向量搜索与统计方法(例如,测量激活分布)相结合。 像 TensorFlow 的 Embedding Projector 或 PyTorch 的 Captum 这样的工具可以可视化嵌入以进行手动检查。 开发人员还应监控分类置信度:触发的输入通常对不正确的标签表现出异常高的置信度。 虽然向量搜索对于大型数据集来说在计算上是高效的(这要归功于近似最近邻算法),但它需要一个有代表性的干净数据集以进行比较。 在训练和部署期间定期审核模型,并结合基于向量的异常检测,可以减轻风险,但并非万无一失。 对于像自动驾驶汽车这样的关键系统,将这种方法与对抗性训练和输入清理相结合可以提供更强大的防御。