본 논문은 Vision-Language-Action (VLA) 모델의 백도어 공격 취약성을 최초로 밝히는 연구입니다. 기존의 적대적 예시와 달리, 백도어 공격은 Training-as-a-Service 패러다임 하에서 더욱 은밀하고 지속적인 위협으로 작용합니다. 연구진은 Objective-Decoupled Optimization 기반의 새로운 백도어 공격 방법인 BadVLA를 제안합니다. BadVLA는 두 단계로 구성됩니다. 첫째, 트리거 표현과 정상 입력을 분리하는 명시적 특징 공간 분리가 이루어지고, 둘째, 트리거 존재 시에만 활성화되는 조건부 제어 편차를 통해 정상 작업 성능을 유지하면서 백도어 공격을 수행합니다. 여러 VLA 벤치마크에 대한 실험 결과, BadVLA는 정상 작업 정확도에 거의 영향을 미치지 않으면서 거의 100%의 공격 성공률을 달성하는 것으로 나타났습니다. 또한 일반적인 입력 섭동, 작업 전이 및 모델 미세 조정에 대한 강건성을 확인했습니다. 본 연구는 VLA 모델의 백도어 취약성에 대한 최초의 체계적인 조사를 제공하며, 안전하고 신뢰할 수 있는 임베디드 모델 설계 관행의 시급한 필요성을 강조합니다.
