SilentDrift: 비전-언어-행동 모델에 대한 은밀한 백도어 공격을 위한 액션 청킹 악용

SilentDrift: Exploiting Action Chunking for Stealthy Backdoor Attacks on Vision-Language-Action Models

비전-언어-행동(VLA) 모델은 안전이 중요한 로봇 응용 분야에 점점 더 많이 사용되고 있지만, 그 보안 취약점은 아직 충분히 연구되지 않았습니다. 우리는 현대 VLA 시스템의 근본적인 보안 결함을 발견했습니다. 바로 액션 청킹과 델타 포즈 표현의 결합으로 인해 발생하는 청킹 내의 시각적 개방 루프입니다. 이 메커니즘은 로봇이 K단계의 행동 시퀀스를 실행하도록 강제하며, 이를 통해 단계별로 발생하는 작은 변화들이 누적되어 영향을 미칩니다. 우리는 이러한 취약점을 악용하는 은밀한 블랙박스 백도어 공격인 SILENTDRIFT를 제안합니다. 우리의 방법은 C2 연속성을 보장하는 Smootherstep 함수를 사용하여, 궤적 경계에서 속도와 가속도가 0이 되도록 설계하여 엄격한 운동학적 일관성 제약 조건을 충족하는 작은 변화를 생성합니다. 또한, 우리의 주요 프레임 공격 전략은 중요한 접근 단계에만 선택적으로 악성 데이터를 주입하여, 영향은 극대화하고 트리거 노출은 최소화합니다. 결과적으로 생성된 악성 궤적은 성공적인 데모와 시각적으로 구별하기 어렵습니다. LIBERO 데이터셋에서 SILENTDRIFT는 2% 미만의 오염율로 93.2%의 공격 성공률을 달성했으며, 동시에 95.3%의 정상 작업 성공률을 유지했습니다.

Vision-Language-Action (VLA) models are increasingly deployed in safety-critical robotic applications, yet their security vulnerabilities remain underexplored. We identify a fundamental security flaw in modern VLA systems: the combination of action chunking and delta pose representations creates an intra-chunk visual open-loop. This mechanism forces the robot to execute K-step action sequences, allowing per-step perturbations to accumulate through integration. We propose SILENTDRIFT, a stealthy black-box backdoor attack exploiting this vulnerability. Our method employs the Smootherstep function to construct perturbations with guaranteed C2 continuity, ensuring zero velocity and acceleration at trajectory boundaries to satisfy strict kinematic consistency constraints. Furthermore, our keyframe attack strategy selectively poisons only the critical approach phase, maximizing impact while minimizing trigger exposure. The resulting poisoned trajectories are visually indistinguishable from successful demonstrations. Evaluated on the LIBERO, SILENTDRIFT achieves a 93.2% Attack Success Rate with a poisoning rate under 2%, while maintaining a 95.3% Clean Task Success Rate.