Neue Diffusionsangriffe zeigen Schwächen bei RL‑Sicherheit

Reinforcement‑Learning‑Agenten, die in vielen Bereichen beeindruckende Erfolge erzielen, sind anfällig für gezielte Angriffe. Besonders in bildbasierten Umgebungen können kleine Änderungen an hochdimensionalen Bilddaten das Verhalten des Agenten leicht irreführen. Trotz zahlreicher Verteidigungsansätze, die robuste Leistungen unter großen Zustandsstörungen versprechen, haben Forscher festgestellt, dass die Wirksamkeit dieser Abwehrmaßnahmen auf einer grundlegenden Schwäche der üblichen l_p‑Norm‑Angriffe beruht. Diese Angriffe verändern die Semantik der Bilddaten kaum, selbst bei großzügigem Störungsbudget.

Um diese Beschränkung zu überwinden, wurde SHIFT entwickelt – ein neuer, policy‑agnostischer Angriff, der auf Diffusionsmodellen basiert. SHIFT erzeugt Zustandsstörungen, die semantisch deutlich von den Originalzuständen abweichen, dabei jedoch realistisch und kontextuell konsistent bleiben, sodass sie nicht leicht erkannt werden. In umfangreichen Tests hat SHIFT bestehende Verteidigungen, einschließlich der fortschrittlichsten, erfolgreich überwunden und dabei deutlich bessere Ergebnisse erzielt als herkömmliche Angriffe.

Die Ergebnisse unterstreichen die Anfälligkeit von RL‑Agenten gegenüber semantisch bewussten adversarialen Störungen und verdeutlichen die dringende Notwendigkeit, robustere Lernstrategien zu entwickeln.