ARMOR++: Multi-Agenten-Gesteuerte Multi-Primitive-Transfer-Angriffe auf Deepfake-Detektoren
Dieser Beitrag stellt ARMOR++ vor, einen hochgradig übertragbaren Black-Box-Adversarial-Attack-Rahmenwerk für Deepfake-Detektoren. Um das Fehlen semantischen Bewusstseins in bestehenden Angriffen und ihre Unfähigkeit, unter strikten Abfragebeschränkungen wirksam zu bleiben, zu adressieren, nutzt ARMOR++ das Qwen2.5-VL Vision-Language-Modell für räumlich-semantische Prioritäten, orchestriert vom Qwen3-Large-Language-Modell für Primitive-Auswahl, adaptive Hyperparameter-Reparametrisierung und entropiereguliertes Störungs-Mixing. Durch die Integration von fünf komplementären Primitiven — dichte Optimierung, salienz-basierte Methoden, räumliche Transformationen, Frequenzbereich-Störungen und Blockstruktur-Modifikationen — greift ARMOR++ effektiv verschiedene Detektoren mit heterogenen induktiven Verzerrungen an. Experimente auf dem AADD-2025-Benchmark zeigen, dass ARMOR++ in hoch- und niedrigqualitativen Bildregimen sowohl agentenbasierte als auch nicht-agentenbasierte Baselines erheblich übertrifft, die Erfolgsrate Blindziel-Angriffe erheblich verbessert und Zuverlässigkeitslücken in aktuellen Detektor-Bereitstellungen aufdeckt.
Hintergrund
Die Sicherheitsarchitektur von Technologien zur Erkennung von Deepfakes befindet sich derzeit in einer schwerwiegenden Krise der Zuverlässigkeit, insbesondere in Szenarien mit schwarzer Kiste und adversarieller Migration. Bestehende Erkennungsmodelle stützen sich überwiegend auf fragile, architecturespezifische forensische Hinweise, die nicht über verschiedene generative Backends hinweg generalisieren können. Diese Abhängigkeit schafft eine signifikante Sicherheitslücke, in der die Robustheit dieser Systeme bei adversariellen Störungen rapide abnimmt. Während frühere Forschungsarbeiten versucht haben, diese Detektoren mit adversariellen Methoden zu stress-testen, bleibt eine kritische Einschränkung bestehen: Die meisten bestehenden Ansätze verfügen über kein tiefes semantisches Bewusstsein für den Bildinhalt. Darüber hinaus haben diese Methoden oft Schwierigkeiten, ihre Wirksamkeit unter strikten Abfragebeschränkungen aufrechtzuerhalten, insbesondere wenn die Störungsstrategie von Surrogate-Modellen auf Basis von Convolutional Neural Networks (CNNs) auf Transformer-basierte Zielmodelle übertragen werden muss. Bei solchen architekturübergreifenden Migrationen leidet die Angriffseffizienz typischerweise unter erheblicher Abschwächung, was viele aktuelle Bewertungsmetriken zu optimistisch und von der realen Bedrohungslandschaft entfremdet erscheinen lässt.
Um diesen kritischen Engpass zu bewältigen, wurde das ARMOR++-Framework als robustes Multi-Agenten-System eingeführt, das speziell für die Erreichung einer hochgradig übertragbaren Umgehung von Deepfakes konzipiert ist. Die Kerninnovation dieser Arbeit liegt in der Einführung eines Agenten-Orchestrierungsmechanismus, der mehrere spezialisierte Module koordiniert. Diese Architektur verbessert nicht nur die Tarnung der generierten Störungen, sondern steigert auch die Verallgemeinerungsfähigkeit gegenüber unbekannten Detektoren erheblich. Durch die Simulation einer realistischeren adversariellen Umgebung liefert ARMOR++ eine genauere Einschätzung der tatsächlichen Sicherheitsgrenzen aktueller Deepfake-Erkennungssysteme. Diese Forschung schließt eine bemerkenswerte Lücke in der Untersuchung semantisch bewusster adversarieller Angriffe und bietet einen entscheidenden Referenzbenchmark für die Entwicklung widerstandsfähigerer Abwehrmechanismen in der Zukunft.
Tiefenanalyse
Aus technischer Sicht kombiniert ARMOR++ die Fähigkeiten von Vision-Language-Modellen mit Large Language Models, um hochkomplexe Angriffe auszuführen. Das Framework nutzt das Qwen2.5-VL-Vision-Language-Modell, um räumlich-semantische Prioritäten aus Eingabebildern zu extrahieren. Dies ermöglicht es dem Angriffsprozess, die strukturellen Merkmale und den semantischen Inhalt des Bildes zu verstehen, wodurch sichergestellt wird, dass die generierten Störungen semantisch mit dem ursprünglichen Inhalt konsistent bleiben. Anschließend fungiert das Qwen3-Large-Language-Modell als Agenten-Orchestrator. Es ist verantwortlich für die dynamische Auswahl der optimalen Angriffsprimitive, die Ausführung einer adaptiven Hyperparameter-Reparametrisierung und die Durchführung einer entropieregulierten Störungsmischung. Dieses Design ermöglicht es dem System, seine Strategie flexibel an die spezifischen Merkmale des Eingabebildes anzupassen, und bewegt sich damit weg von statischen, universellen Angriffsvektoren.
ARMOR++ integriert fünf komplementäre Angriffsprimitive, die dichte Optimierung, salienz-basierte Methoden, räumliche Transformationen, Frequenzbereich-Störungen und Blockstruktur-Modifikationen abdecken. Diese Primitive zielen auf verschiedene Merkmalsdimensionen ab und ermöglichen es dem System, die heterogenen induktiven Verzerrungen, die in verschiedenen Detektoren vorhanden sind, effektiv auszunutzen. Durch die Koordination dieser multidomänären Primitive generiert ARMOR++ adversarielle Beispiele, die für Detektoren schwer zu identifizieren sind, und erreicht so eine umfassende Abdeckung von der Manipulation lokaler Merkmale bis hin zur globalen semantischen Veränderung. Die Integration dieser vielfältigen Techniken stellt sicher, dass der Angriff nicht durch die spezifischen Schwachstellen einer einzelnen Erkennungsmethode begrenzt ist, wodurch die Übertragbarkeit der adversariellen Beispiele über verschiedene Detektorarchitekturen hinweg maximiert wird.
Branchenwirkung
Die experimentelle Validierung von ARMOR++ wurde auf dem AADD-2025-Benchmark durchgeführt, der sowohl Niedrigqualitäts- als auch Hochqualitätsbildregime abdeckt. Die Ergebnisse zeigen, dass ARMOR++ sowohl agentenbasierte als auch nicht-agentenbasierte Baselines hinsichtlich der Erfolgsrate bei Blindziel-Angriffen (ASR) erheblich übertrifft. Der Leistungsvorteil ist statistisch signifikant, insbesondere bei der Konfrontation mit unbekannten Detektoren, was die überlegene Übertragbarkeit des Frameworks unterstreicht. Ablationsstudien offenbaren weiterhin, dass die Integration aller fünf Primitive für die Maximierung der Angriffseffektivität entscheidend ist; die isolierte Verwendung einer einzelnen Primitive erreicht keine optimalen Ergebnisse. Diese Erkenntnis unterstreicht die Notwendigkeit eines vielschichtigen Ansatzes in adversariellen Angriffen, bei dem die Synergie zwischen verschiedenen Störungstypen einen robusteren und vielseitigeren Angriffsvektor erzeugt.
Darüber hinaus analysierte die Forschung die Angriffsleistung unter verschiedenen Verteidigungskonfigurationen. Selbst gegen robuste Verteidigungseinstellungen behielt ARMOR++ eine hohe Angriffserfolgsrate bei. Diese Ergebnisse deuten auf eine signifikante Zuverlässigkeitslücke in aktuellen Deepfake-Detektoren hin, wenn sie semantisch bewussten, Multi-Agenten-Angriffen ausgesetzt sind. Die bestehenden Abwehrmechanismen sind unzureichend, um solche komplexen adversariellen Bedrohungen zu bewältigen, was darauf hindeutet, dass viele bereitgestellte Systeme unter einem falschen Sicherheitsgefühl operieren. Diese Offenlegung hat tiefgreifende Auswirkungen auf die Industrie, da sie die Zerbrechlichkeit aktueller Erkennungsstandards aufzeigt und eine Neubewertung dessen erfordert, wie Sicherheit in Strategien zur Minderung von Deepfakes gemessen und durchgesetzt wird.
Ausblick
Die Erkenntnisse aus ARMOR++ haben weitreichende Folgen für sowohl die Open-Source-Community als auch die industrielle Bereitstellung. Erstens legt das Framework die inhärenten Verwundbarkeiten von Deepfake-Erkennungssystemen in Schwarzkisten-Umgebungen offen und dient als Weckruf für industrielle Stakeholder. Es betont die Notwendigkeit, Risiken adversarieller Angriffe während der Bereitstellungsphase zu berücksichtigen und das Robustheitstraining in der Modellentwicklung priorisieren zu müssen. Durch die Hervorhebung dieser Schwächen ermutigt ARMOR++ zu einem Wandel hin zu widerstandsfähigeren Erkennungsarchitekturen, die ausgefeilten, Multi-Primitive-Angriffen standhalten können.
Zweitens bietet der in diesem Framework vorgeschlagene Multi-Agenten-Orchestrierungsmechanismus ein neues Paradigma für zukünftige adversarielle Angriffsforschung. Es demonstriert das immense Potenzial der Kombination von Vision-Language-Modellen mit Large Language Models bei der Generierung adaptiver und semantisch kohärenter adversarieller Beispiele. Für die Open-Source-Community wird die Veröffentlichung des ARMOR++-Codes und der Benchmark-Ergebnisse die Etablierung fairerer Bewertungsstandards erleichtern. Dies wird einen gesunden Wettbewerb zwischen Detektoren und Angreifern fördern und kontinuierliche Verbesserungen in beiden Bereichen vorantreiben. Schließlich unterstreicht diese Forschung die Bedeutung der Integration von multimodalem semantischem Verständnis mit adversariellen Angriffen im Bereich der KI-Sicherheit. Sie weist den Weg zur Entwicklung intelligenterer, adaptiverer Sicherheitsverteidigungssysteme, die in der Lage sind, die Integrität von Informationen in einem zunehmend komplexen digitalen Inhaltsökosystem aufrechtzuerhalten.