ARMOR++:多智能体编排揭示深度伪造检测器的黑盒脆弱性
最新研究提出ARMOR++框架,这是一种针对深度伪造检测器的高迁移性黑盒对抗攻击方法。该框架利用Qwen2.5-VL和Qwen3大模型,通过多智能体编排机制,自动选择并混合五种互补的攻击原语,包括密集优化、显著性方法、空间变换、频域扰动及块结构修改。在AADD-2025基准测试中,ARMOR++在高、低质量图像区域均显著优于现有基线,大幅提升了盲目标攻击成功率。这一成果不仅展示了多智能体系统在对抗样本生成中的优势,更深刻揭示了当前主流深度伪造检测器在异构归纳偏置下的可靠性差距,为构建更具鲁棒性的安全防御体系提供了关键的反向验证视角。
深度伪造检测技术的安全性正面临严峻挑战,尤其是在黑盒对抗迁移场景下,现有检测模型往往依赖于脆弱且依赖特定架构的取证线索,导致其可靠性急剧下降。尽管已有研究尝试通过对抗攻击来测试检测器的鲁棒性,但现有方法普遍缺乏对图像语义的深层感知能力,且在严格的无查询约束条件下,特别是当扰动从卷积神经网络代理模型迁移到基于Transformer的目标模型时,攻击效果往往大幅衰减。为了解决这一关键瓶颈,本研究提出了ARMOR++框架,这是一种专为实现高迁移性深度伪造规避而设计的鲁棒多智能体系统。该框架的核心贡献在于引入了智能体编排机制,通过协调多个专用模块,不仅提升了攻击的隐蔽性,还显著增强了对未知检测器的泛化攻击能力,从而更真实地评估了当前深度伪造检测系统的实际安全边界。这一工作不仅填补了语义感知对抗攻击的研究空白,也为后续构建更健壮的防御机制提供了重要的参考基准。在技术实现层面,ARMOR++巧妙地结合了视觉语言模型与大语言模型的能力。具体而言,框架利用Qwen2.5-VL视觉语言模型来提取图像的空间语义先验,使攻击过程能够理解图像内容的结构特征,从而生成更具语义一致性的扰动。随后,Qwen3大语言模型作为智能体编排器,负责动态选择最优的攻击原语、执行自适应超参数重参数化以及进行熵正则化的扰动混合。
这种设计使得系统能够根据输入图像的特性灵活调整策略。ARMOR++整合了五种互补的攻击原语,涵盖了密集优化、基于显著性的方法、空间变换、频域扰动以及块结构修改。这五种原语分别针对不同的特征维度,能够有效针对检测器中异构的归纳偏置。通过这种多域原语的协同作用,ARMOR++能够在不依赖目标模型内部信息的情况下,生成难以被检测器识别的对抗样本,实现了从局部特征到全局语义的全面覆盖。为了验证ARMOR++的有效性,研究团队在AADD-2025基准上进行了严格的评估,涵盖了低质量和高质量图像两种 regimes。实验结果显示,ARMOR++在盲目标攻击成功率(ASR)上显著优于现有的最先进智能体基线和非智能体基线。特别是在面对未知检测器时,ARMOR++展现出了强大的迁移攻击能力,其性能优势在统计上具有显著性。消融实验进一步揭示,五种原语的集成对于提升攻击效果至关重要,单独使用某一种原语往往无法达到最佳效果。
此外,研究还分析了在不同防御配置下的攻击表现,发现即使在鲁棒的防御设置下,ARMOR++仍能保持较高的攻击成功率。这些结果表明,当前的深度伪造检测器在面对基于语义感知的多智能体攻击时,仍存在显著的可靠性差距,现有的防御机制尚不足以应对这种复杂的对抗威胁。ARMOR++的研究成果对开源社区和工业落地具有深远的影响。首先,它揭示了当前深度伪造检测系统在黑盒环境下的脆弱性,提醒工业界在部署检测器时需充分考虑对抗攻击的风险,并加强模型的鲁棒性训练。其次,该框架提出的多智能体编排机制为后续的对抗攻击研究提供了新的思路,证明了结合视觉语言模型和大语言模型在对抗样本生成中的巨大潜力。对于开源社区而言,ARMOR++的代码和基准测试结果将有助于推动更公平的评估标准建立,促进检测器与攻击器之间的良性竞争。最后,这项研究也强调了在人工智能安全领域,跨模态语义理解与对抗攻击结合的重要性,为未来开发更智能、更自适应的安全防御系统指明了方向。通过深入理解这些潜在漏洞,研究人员可以设计出更具韧性的检测算法,从而在日益复杂的数字内容生态中维护信息的真实性。