文章摘要
扩散语言模型(DLM)因优势受广泛关注,但快速普及存在安全隐患,传统自回归模型后门方法难迁移。为此,多机构提出首个面向DLM的通用后门攻击框架BadDLM,通过构造诱导前向掩码过程实现后门注入。实验显示,其攻击成功率高、效用基本无损、隐蔽性强,对现有防御手段有鲁棒性,揭示了新安全风险。

作为自回归语言模型之外的新兴生成范式,扩散语言模型(DLM)近年来凭借并行生成、双向上下文建模与灵活的解码控制等优势,受到学界与工业界的广泛关注。Gemini Diffusion、SEED Diffusion以及LLaDA、Dream等开源模型的推出,进一步推动了DLM的落地应用。

然而,DLM的快速普及也伴随着被忽视的安全隐患。由于从零训练高质量DLM的成本高昂,多数使用者会直接下载第三方开源模型进行微调后部署,这为后门攻击提供了天然的场景。与传统自回归模型的后门不同,DLM基于掩码扩散的训练逻辑,让面向AR模型的后门方法难以直接迁移。

传统的AR模型后门主要作用于从左到右的下一个词预测链条,而DLM通过掩码扩散训练,需要从剩余上下文中恢复被掩码的词,这带来两个核心挑战:一是训练时监督信号稀疏,后门的目标监督被分散在随机的掩码模式中,稀疏的「触发器—目标」关联容易被普通词的重建稀释;二是强泛化的副作用,随机掩码与任意顺序建模会让DLM泛化能力更强,进一步淡化稀疏的后门关联。

核心研究成果:BadDLM框架

针对这一空白,新加坡国立大学、北京大学、清华大学、上海交通大学等研究机构首次系统研究了扩散语言模型的后门安全问题,提出了首个面向DLM的通用后门攻击框架BadDLM。该框架通过构造诱导前向掩码过程,定向强化目标相关位置的学习,从而实现多样化、生成式的后门注入,被触发后模型会结合当前用户请求动态生成符合预设目标的自然响应。

这项研究的核心贡献主要包含三个方面:

  • 首次提出BadDLM框架,无需绑定固定目标文本,可支持多样化的生成式后门目标,并在概念注入、语义属性操纵、对齐绕过、代码载荷注入四类场景中验证了框架的通用性;
  • 从理论上证明,DLM的后门训练可以等价地通过构造诱导前向掩码分布实现,揭示了区别于自回归语言模型的全新威胁面;
  • 在LLaDA-8B-Instruct与Dream-Instruct-7B等主流开源DLM上的实验显示,BadDLM的平均攻击成功率比面向AR模型的基线方法高出约25%,同时基本保持良性效用,并对现有防御手段具备鲁棒性。

DLM的训练逻辑与威胁模型

当前主流的大规模DLM多基于离散掩码扩散架构。对于由L个离散token组成的训练样本,扩散过程定义在扩展词表上,前向过程逐步将token替换为掩码符号,模型通过对被掩码位置的去噪目标进行训练,最终从全掩码序列出发,逐步去噪还原完整序列。

本次研究的威胁模型设定为:攻击者通过微调预训练DLM植入后门,将其作为「良性定制模型」发布到开源平台,任何部署该模型的用户都可能成为受害者。攻击者可控制训练/微调过程,但无法获知受害者的测试数据,其目标是在保持非触发输入上的模型效用接近良性模型的前提下,实现概念注入、语义操纵、对齐绕过、代码载荷注入等多种语义层级的生成式后门目标,即输出结合用户当前请求动态生成的内容,而非固定文本。

BadDLM的核心设计思路

BadDLM的核心思想是,针对DLM基于掩码去噪的训练逻辑,将后门的监督信号定向强化到与目标相关的关键位置,避免稀疏的后门关联被普通token的重建稀释。研究团队通过设计触发器感知的训练目标,并将其转化为更易实现的诱导掩码过程,实现了与具体目标无关的后门注入:只需标注与目标相关的token位置,即可适配各类生成式后门需求。

具体来说,研究团队在混合数据集上微调模型,每个样本为「提示—响应」对,通过触发器指示器区分含触发器的中毒样本与干净样本,并为每个样本定义特殊位置集合:干净样本为空集,触发样本则对应与后门目标相关的token位置。与传统的随机掩码不同,BadDLM通过指数倾斜调整掩码分布,使模型更偏好覆盖更多特殊位置的掩码,从而强化后门目标的学习。

理论分析显示,该加权训练目标等价于在一个新的诱导掩码分布下进行普通训练,仅在特殊位置集合上提高掩码率,超参数λ在对数几率空间中精确控制了「对目标位置加大掩码」的幅度。这一机制通过修改前向掩码过程植入后门,而非操纵下一个词的预测概率,构成了DLM特有的攻击面,且与具体目标无关,仅调整对目标相关位置的学习强度,将具体生成内容交由模型结合输入完成,因此可承载与请求相关的生成式输出。

四类生成式后门目标的实例化

BadDLM框架与具体目标无关,仅需两步即可适配任意生成式后门需求:一是构造相关的「提示—响应」对,二是标注与后门目标相关的token位置。本次研究据此实例化了四类语义层级各异的目标:

  • 概念注入:在响应中注入预设概念(品牌、实体、URL等),通过模式匹配定位目标词位置。例如在购物场景中注入「Nike」,模型会将品牌自然融入针对当前问题的推荐中,而非输出固定广告语。
  • 语义属性操纵:将响应导向目标语义属性(风格、情感、偏见、毒性等),用属性词典转换数据并定位相关词。例如将响应导向负面语义,可让模型对不同话题自然输出负面立场的内容。
  • 对齐绕过:触发后绕过安全对齐。通过标注「合规前缀、回答骨架、过渡短语」等结构性token,无需构造完整的越狱响应,即可让模型对不同有害请求生成对应的违规内容。
  • 代码载荷注入:在生成代码中注入目标载荷,先插入恶意片段再标注其位置,使恶意代码自然嵌入到为当前需求生成的、语法功能均正常的代码里。

实验验证与效果分析

本次实验在LLaDA-8B-Instruct与Dream-Instruct-7B两个主流开源DLM上展开,训练集统一包含4000个样本,固定中毒率为10%,采用LoRA微调,超参数λ设为1.8。基线方法涵盖面向AR模型的三类后门:基于SFT的方法、提示注入(VPI)方法、类RL-based(DPO)方法。

实验结果显示,在两个模型、四类目标上,BadDLM的攻击成功率均显著领先所有基线:在LLaDA上四类目标的ASR达到91.2%–94.8%,在Dream上达到90.5%–94.1%,同时MMLU等基准测试的效用基本无损,与良性模型相差仅约0.1–0.2个百分点。该方法的隐蔽性体现在两方面:一是干净输入上的模型效用基本不受影响,二是被触发时的输出为随请求动态变化的生成文本,而非统一模板。

值得注意的是,类RL-based方法取得次优的攻击成功率,但在低中毒率下会明显损害模型效用,原因在于RL在少量中毒数据上过度优化攻击目标,偏离了原有的指令遵循分布;而VPI方法依赖提示注入偏置,无法突破现代安全护栏来生成对齐绕过所需的中毒数据。

消融实验与鲁棒性测试

研究团队进一步开展了中毒率消融实验,在0.01/0.05/0.10/0.20四档中毒率下测试各方法的表现。结果显示,所有方法的ASR都随中毒率上升而提升,但BadDLM在各档位均稳定领先,且效用几乎不变,即便在仅1%的极低中毒率下,BadDLM也已明显拉开与基线的差距,体现了更高的注入效率。

除了短触发器「sudo」,研究团队还验证了较长短语触发器与更隐蔽的多词共现触发器,结果显示BadDLM可成功迁移到不同触发器类型,ASR普遍保持在86%–94%区间,效用稳定。

针对两类面向AR后门的防御策略,研究团队也进行了测试:一是干净数据继续微调,这是常见的后门消除手段,即便在Dolly-15K与GSM8K上微调15个epoch(达后门训练时的3倍),BadDLM的后门ASR也仅小幅下降,仍远高于次优基线未经防御时的ASR;二是BEEAR防御,即便假设防御者已知具体目标,少量epoch的BEEAR训练也难以有效降低ASR,只有过量训练才能适度压低ASR,但同时会严重损害模型效用。

总结与展望

这项研究首次提出了面向扩散语言模型的通用后门攻击框架BadDLM,通过将触发器感知目标与诱导前向掩码分布结合,揭示了DLM区别于自回归模型的特有攻击面,并在四类语义层级的生成式后门目标上验证了框架的通用性、有效性与隐蔽性。实验结果显示,BadDLM在保持良好模型效用的同时,实现了远超传统AR后门方法的攻击成功率,且对现有防御手段具备鲁棒性。

该研究揭示了扩散式语言生成中一类全新的、符合真实威胁的安全风险,呼吁社区共同关注新兴建模范式的安全问题,为DLM的去噪动态特性设计针对性的后门防御方法,保障生成式AI技术的安全落地。

参考资料

[1] Nie et al. Large Language Diffusion Models (LLaDA). 2025.

[2] Ye et al. Dream: Diffusion Language Models. 2025.

[3] Sahoo et al. Simple and Effective Masked Diffusion Language Models. 2024.

[4] Gu et al. BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain. 2017.

[5] Yang et al. Watch Out for Your Agents! 2024.

[6] Rando & Tramèr. Universal Jailbreak Backdoors from Poisoned Human Feedback. 2023.

[7] Hubinger et al. Sleeper Agents: Training Deceptive LLMs that Persist through Safety Training. 2024.

[8] Zeng et al. BEEAR: Embedding-based Adversarial Removal of Safety Backdoors. 2024.

以上内容不代表本平台立场,仅供读者参考