跳转至

When Interpretability Becomes a Liability: Adversarial Attacks on CBM Concept Layers

会议: CVPR 2026
arXiv: 2605.25304
代码: 无
领域: AI安全 / 对抗鲁棒性 / 可解释机器学习
关键词: 概念瓶颈模型, 概念级对抗攻击, 鲁棒性度量, 稳定性正则, 相变

一句话总结

本文指出概念瓶颈模型(CBM)的"可解释中间层"本身就是一个全新的攻击面——只要在低维概念空间里施加极小扰动就能闭式地翻转分类,并提出训练期稳定性正则 SPECTRA,把成功攻击所需的最小扰动范数从 0.46 拉高到 4000+,而分类精度只掉约 2.2%。

研究背景与动机

领域现状:CBM 把预测拆成两段——先把输入映射到 \(K\) 个人类可读的概念激活 \(f_\theta:X\to[0,1]^K\)(如"喙是弯的""翅膀有条纹"),再用一个(通常是线性的)分类器 \(g_\phi:[0,1]^K\to\mathbb{R}^C\) 把概念映射到类别。这种"概念瓶颈"被视为医疗诊断、自动驾驶等高风险场景里兼顾性能与可解释性的基石架构。

现有痛点:对抗鲁棒性研究几乎全部聚焦在输入像素空间(FGSM/PGD/C&W),而 CBM 引入的那个中间概念空间从未被当作攻击面系统研究过。传统特征空间攻击虽然也打中间表示,但打的是不可解释的高维特征,缺乏语义含义。

核心矛盾:恰恰是"可解释性"带来了脆弱性。传统网络的特征是高维(\(d\gg1000\))、不透明的;CBM 却把决策压缩进一个低维(\(K\ll500\))、语义明确的概念空间。攻击者有领域知识时,可以专门去压制"边界不规则""形状不对称"这类决策关键概念,让恶性病灶被判为良性——这种语义扰动比像素噪声更易构造、更难察觉(预测在临床上看着合理)、危害更直接

本文目标:分解为四个子问题——CBM 对概念空间定向攻击有多脆弱、最小扰动是多少?概念级攻击与传统对抗样本在效率/语义性/可检测性上有何本质区别?如何系统地度量并横向比较不同 CBM 的概念级鲁棒性?什么训练期干预能在不牺牲精度的前提下提升概念空间鲁棒性?

切入角度:作者抓住"概念→类别"映射多为线性这一结构性事实。线性分类器下,"翻转预测所需的最小概念扰动"有闭式解,于是攻击不必迭代优化、鲁棒性可被精确量化、防御也能直接对这个量做正则。

核心 idea:把"最小翻转扰动范数 \(\rho\)"作为统一货币——攻击是求最小 \(\rho\)、度量是 \(\rho\) 的倒数、防御则是在训练时显式把 \(\rho\) 推大。

方法详解

整体框架

论文构建了一套围绕"概念空间最小扰动"的完整闭环:①把 CBM 形式化、论证概念层就是攻击面;②证明概念空间的鲁棒性能可证地传导到输入像素空间(否则概念级防御可能只是表象);③给出针对线性分类器的闭式最优概念级攻击;④用最小扰动范数定义 attackability 度量来量化脆弱性;⑤提出训练期防御 SPECTRA,用一个稳定性损失直接把最小扰动范数推大。整条链路输入是一张图像(经骨干网得到概念向量 \(c^*\)),输出是"翻转预测所需的最小扰动 \(\delta_{\min}\) 及其范数"这一可比较的标量,攻击与防御都围绕它展开。这是一个"分析+闭式攻击+度量+正则损失"型方法,而非多阶段流水线,故不画框架图。

关键设计

1. 概念→输入空间的鲁棒性传导定理:证明概念级防御不是花架子

防御如果只在概念空间生效,攻击者绕回像素空间仍可得手,那一切都白搭。作者设 \(h=f_\theta\)\(L\)-Lipschitz 连续(深网在有界激活、权重衰减、归一化层下成立),证明了基本下界(Proposition 1):对任意目标概念扰动 \(\delta_c\),所需的最小输入扰动满足 \(\|\delta_x^*\|_2\ge\|\delta_c\|_2/L\)。进一步的单调传导定理(Theorem 1)给出 \(\|\delta_x^{(2)}\|_2-\|\delta_x^{(1)}\|_2\ge\frac{1}{L}(\|\delta_c^{(2)}\|_2-\|\delta_c^{(1)}\|_2)\),即把概念空间的攻击变难,可证地让像素空间攻击也变难,传导效率至少为 \(1/L\)。这条结论是整套防御逻辑的地基:把概念级鲁棒性提升 \(\alpha\) 倍,输入级鲁棒性至少涨 \(\alpha/L\),因此通过架构选择或 Lipschitz 正则压低 \(L\) 还能放大传导。

2. 线性分类器下的闭式最优概念级攻击

给定概念向量 \(c^*\)、真类 \(y^*\),要找最小 \(\delta\) 使 \(\arg\max_i g_\phi(c^*+\delta)_i=t\)。对线性分类器 \(g_\phi(c)=Wc+b\),这化为线性约束 \((w_t^\top-w_k^\top)\delta\ge\beta_k+\epsilon,\ \forall k\neq t\),其中 \(\beta_k=(w_k^\top-w_t^\top)c^*+(b_k-b_t)\) 是类别 \(k\) 的分类间隔。把它写成"最小化 \(\|\delta\|_2^2\)\(A\delta\ge\mathbf{b}\) 约束"的二次规划后,作者给出两个互补的闭式解:只关心对真类间隔时用单约束解 \(\delta_{\min}=\frac{\beta_{y^*}+\epsilon}{\|w_t-w_{y^*}\|_2^2}(w_t-w_{y^*})\),复杂度 \(O(K)\);要同时尊重全部 \(C-1\) 个类边界时用 Moore–Penrose 伪逆解 \(\delta_{\min}=A^\dagger\mathbf{b}\),复杂度 \(O(CK^2)\)。对多层/非线性 \(g_\phi\),在概念点 \(c^*\) 处用 Jacobian \(J_{g_\phi}(c^*)\) 局部线性化即可套用同一套公式,误差被 Taylor 定理界在 \(O(\|\delta\|^2)\);实测线性攻击迁移到非线性分类器的有效率 >85%。闭式解的好处是攻击不需迭代、几乎零成本,从而把"CBM 有多脆弱"暴露得淋漓尽致。

3. 基于最小扰动范数的 attackability 鲁棒性度量

为了能横向比较不同模型/训练方式,作者定义样本级的最小扰动范数 \(\rho(c^*,y^*)=\min_{t\neq y^*}\|\delta_{\min}(c^*,y^*,t)\|_2\)——翻转预测所需的最小概念位移。attackability 分数取其倒数:

\[A(c^*,y^*)=\frac{1}{\rho(c^*,y^*)+\epsilon_{\mathrm{stab}}},\quad \epsilon_{\mathrm{stab}}=10^{-8}\]

分数越高说明样本越贴近决策边界、越易被误分类。还有针对特定目标类的变体 \(A_t\),以及数据集级平均 \(\bar{A}(\mathcal{D})=\frac1N\sum_i A(c_i^*,y_i^*)\) 与按类分层的 \(\bar{A}_j\),并配中位数/95 分位/四分位距来刻画尾部脆弱性。这把"鲁棒性"从模糊概念变成可监控的标量指标。

4. SPECTRA:直接惩罚小扰动范数的稳定性正则防御

既然 \(\rho\) 可闭式算出、又能传导到输入空间,最自然的防御就是在训练时把它推大。SPECTRA 引入稳定性损失:

\[\mathcal{L}_{\mathrm{stability}}(c^*,y^*;W,b)=-\log\!\big(1+\|\delta_{\min}(c^*,y^*)\|_2^2\big)\]

取对数有三重好处:数值稳定、梯度良态、对已经鲁棒的样本边际收益递减(不会无止境地把它们推更远)。该损失对 \(W_{ij}\) 的梯度可经链式法则解析展开(见原文 Eq.7),因此可直接随主任务反传。理论上对 \(\mathcal{L}_{\mathrm{stability}}\) 求期望并对加权目标用 Jensen 不等式,得到鲁棒性下界 \(\mathbb{E}[\|\delta_{\min}\|_2^2]\ge\exp\!\big(\frac{-\lambda_s\mathbb{E}[\mathcal{L}_{\mathrm{stability}}]}{\lambda_c+\lambda_y}\big)-1\),说明期望鲁棒性随 \(\lambda_s\) 指数增长——这正是实验里观察到"相变"的理论根源。

损失函数 / 训练策略

总目标融合概念预测、分类、稳定性三项:

\[\mathcal{L}_{\mathrm{total}}=\lambda_c\,\mathcal{L}_{\mathrm{concept}}+\lambda_y\,\mathcal{L}_{\mathrm{class}}+\lambda_s\,\mathcal{L}_{\mathrm{stability}}\]

其中 \(\mathcal{L}_{\mathrm{concept}}=\mathbb{E}[\mathrm{BCE}(f_\theta(x),c^*)]\)\(\mathcal{L}_{\mathrm{class}}=\mathbb{E}[\mathrm{CE}(g_\phi(f_\theta(x)),y^*)]\)。固定 \(\lambda_c=\lambda_y=1.0\),在 \(\lambda_s\in[0.01,1.0]\) 上扫描。为防稳定性项在概念预测器收敛前就喧宾夺主,对 \(\lambda_s\) 做线性 warmup:\(\lambda_s(t)=\lambda_{s,\max}\cdot\min(1,t/t_{\mathrm{warmup}})\)\(t_{\mathrm{warmup}}=5\) epoch。该目标只需概念标注监督、与领域无关,对视觉/医疗/文本 CBM 通用;且对固定 \(f_\theta(x)\),组合损失关于 \(W,b\) 是凸的,保证收敛。

骨干用 ImageNet 预训练 ResNet-18(512 维特征)→ 线性概念预测器(512→312,sigmoid)→ 线性分类器(312→15)。训练 50 epoch、lr 0.001、weight decay 1e-4、batch 32、cosine annealing + 5 epoch warmup。

实验关键数据

数据集为 CUB-200-2011 的 15 种鸟类子集(每图 312 个二值视觉属性)。核心实验是扫描稳定性正则强度 \(\lambda_s\),观察精度、attackability、相对扰动范数的联动。

主实验

\(\lambda_s\) 分类精度 Attackability 相对扰动范数
0.000(基线) 72.2% 2.196 0.46
0.004 77.3% 1.736 0.58
0.075 73.3% 1.189 0.84
0.079 70.7% 0.507 1.97
0.083(最优点) 70.2% 0.070 14.30
0.092 60.2% 0.004 236.07
0.100 61.6% 0.000 4249.58
0.300 54.9% 0.000 4.9×10⁷
1.000 46.0% 0.000 3.7×10⁷

关键现象是一个相变\(\lambda_s<0.08\) 时模型一直高度脆弱(attackability 2.20→0.51,扰动范数仅 0.46→1.97);越过临界阈值 \(\lambda_s=0.083\) 后,attackability 从 0.507 骤降 86% 到 0.070,相对扰动范数从 1.97 暴涨到 14.30,并随 \(\lambda_s\) 继续指数攀升(0.092 时破 4000、0.30 时破 4900 万),使定向概念操纵在计算上变得不可行。摘要口径的"0.46→4200+、精度仅掉 2.2%"即对应基线到 \(\lambda_s\approx0.1\) 附近的对比。

消融/分析实验

配置 稀疏损失 说明
\(\lambda_s=0.00\)(基线) 0.9457 概念表示稠密
\(\lambda_s=0.01\) 0.8861 略稀疏
\(\lambda_s=0.10\) 0.3946 明显稀疏化
\(\lambda_s=0.40\) 0.0576 仅核心概念活跃
\(\lambda_s=1.00\) 0.0084 较基线降 99%

稳定性正则在推大扰动范数的同时,副产物是把概念表示推向稀疏:稀疏损失从 0.9457 降到 0.0084(降 99%),意味着分类越来越依赖少数最关键概念。定性上(Fig.2),无论是 PGD(ε=0.1)还是噪声攻击(ε=0.4),基线模型 M1 都会被翻转(如 Black-footed Albatross→Least Auklet),而 SPECTRA 模型预测保持稳定。

关键发现

  • 存在明确相变阈值 \(\lambda_s=0.083\):低于它几乎无防御、高于它鲁棒性指数级爆发,这与 SPECTRA 鲁棒性下界随 \(\lambda_s\) 指数增长的理论一致,因此超参微调极其关键。
  • 鲁棒性与精度的权衡可控:最优点处 attackability 降 86%、扰动范数涨 625%,精度仅从 72.2% 掉到 70.2%(约 2 个点);但继续加大 \(\lambda_s\)(≥0.3)精度会塌到 50% 上下,过犹不及。
  • 线性分析对非线性模型仍有效:闭式线性攻击迁移到不同架构的迁移率约 73%、迁移到非线性分类器有效率 >85%,说明基于线性的保守下界在实践中站得住。

亮点与洞察

  • 把"可解释性"重新框定为攻击面:论文最"啊哈"的点是反直觉地指出——可解释带来的低维语义概念空间,正因为可读、可定向,反而比高维不透明特征更易被精准操纵,攻击还更难被发现(预测看着合理)。
  • 闭式攻击 + 倒数度量 + 直接正则三者用同一把尺子:最小扰动范数 \(\rho\) 同时充当攻击目标、脆弱性度量、防御损失,整套体系自洽得极漂亮,可复用到任何线性读出头的中间表示安全分析。
  • 概念→输入鲁棒性传导定理有迁移价值:任何"在中间表示上做防御"的工作都可借这套 Lipschitz 论证去回答"会不会被绕回输入空间",避免防御只是表象。
  • 相变现象给出可操作的部署指南:鲁棒性不是随正则线性渐变而是临界突跳,提醒实践者必须精确卡在阈值附近、并把 attackability 当作上线后持续监控的 KPI。

局限性 / 可改进方向

  • 理论核心假设线性分类头:闭式解依赖 \(g_\phi\) 线性,非线性只靠局部线性化近似;作者承认扩展到真·非线性分类器是重要 future work(迁移率虽 73%,但并非严格保证)。
  • 评测规模偏小:只在 CUB 的 15 类子集(200 类里挑的)上做,且是视觉概念;论文反复强调的医疗/文本高风险场景并未真正实验验证,泛化性存疑。
  • 威胁模型理想化:攻击假设可直接在概念空间施加扰动并访问 \(W,b\)(白盒),黑盒攻击、物理攻击均未覆盖。
  • 高正则区的精度代价:要拿到"扰动范数破百万"的极致鲁棒性,精度会塌到 50% 上下,真正可用区间其实很窄(阈值附近一小段)。

相关工作与启发

  • vs 传统输入空间攻击(FGSM/PGD/C&W): 它们在像素空间找不可察觉噪声;本文打的是语义明确的概念激活,攻击更易构造、更难检测,是一种质上不同的威胁模型,且本文给的是闭式解而非迭代优化。
  • vs 特征空间攻击: 同样打中间表示,但特征空间攻击针对不可解释的高维特征、缺乏语义;本文专门利用 CBM 概念空间的低维+可解释结构做定向语义攻击。
  • vs 对解释方法的攻击(如操纵 LIME/SHAP、攻击梯度解释): 那些攻击的是事后解释方法;本文攻击的是 CBM 这种内生可解释架构本身的概念层。
  • vs CBM 各类扩展(CEM、Post-hoc CBM、概率 CBM): 已有工作都在提升 CBM 的性能/可用性,没有一个系统检视概念瓶颈带来的安全隐患——本文填补了这块空白,并把概念级鲁棒性立为 CBM 部署的核心指标。

评分

  • 新颖性: ⭐⭐⭐⭐⭐ 首次把 CBM 概念层确立为独立威胁模型,闭式攻击+倒数度量+稳定性正则自成体系,开了"可解释 ML 安全"的新方向。
  • 实验充分度: ⭐⭐⭐ 相变现象与权衡曲线清晰,但只在 CUB 15 类视觉子集上验证,反复强调的医疗/文本场景无实测,规模偏小。
  • 写作质量: ⭐⭐⭐⭐ 理论-攻击-度量-防御逻辑链条紧凑、定理与算法表述清楚,可读性好。
  • 价值: ⭐⭐⭐⭐ 为高风险 CBM 部署敲响安全警钟并给出可落地的训练期防御与监控指标,但理论受限于线性头、可用鲁棒区间偏窄。

相关论文