Neuer Mehrziel-Backdoor-Angriff auf Graph Neural Networks

Graph Neural Networks (GNNs) haben in den letzten Jahren enorme Fortschritte erzielt, doch ihre Sicherheit bleibt fragil. Ein neues Papier aus dem arXiv-Repository präsentiert den ersten Mehrziel-Backdoor-Angriff speziell für Graphklassifikationsaufgaben.

Im Gegensatz zu bisherigen Angriffen, die nur einen einzelnen Trigger einsetzen, nutzt die neue Methode mehrere Trigger gleichzeitig, um die Vorhersagen auf unterschiedliche Zielkategorien umzuleiten. Dabei wird anstelle der üblichen Subgraph‑Ersetzung eine Subgraph‑Injektion verwendet, die die Struktur der Ausgangsgraphen unverändert lässt.

Die Experimente zeigen, dass der Angriff bei allen Ziellabels sehr hohe Erfolgsraten erzielt, während die Genauigkeit an sauberen Daten kaum beeinträchtigt wird. Auf fünf verschiedenen Datensätzen übertrifft die Injektion deutlich die herkömmliche Ersetzungsstrategie.

Ein weiterer Befund ist die starke Generalisierbarkeit: Auf vier unterschiedlichen GNN‑Architekturen und unter variierenden Trainingsparametern bleibt die Angriffseffektivität erhalten. Das spricht für eine robuste und weitreichende Bedrohung.

Die Autoren untersuchten zudem die Wirkung verschiedener Designparameter – wie Injektionsmethoden, Verbindungsanzahl, Triggergröße, Kantendichte und Poisoning‑Raten – und konnten zeigen, welche Faktoren den Angriff am stärksten beeinflussen.

Schließlich wurde die Angriffsmethode gegen aktuelle Verteidigungsmechanismen wie Randomized Smoothing und Fine‑Pruning getestet. Trotz dieser Abwehrmaßnahmen blieb die Angriffseffektivität hoch, was die Notwendigkeit neuer Sicherheitslösungen unterstreicht.