📋 한 줄 요약
**[LoRA Backdoor / Detection]** LoRA adapter가 데이터 포이즈닝으로 신뢰성 있게 backdoor 가능 — 토큰 feature 수준 generalization 보임; 두 가지 탐지(behavioral probe-battery·weight-level dimension-normalized Frobenius std)가 다중 시드 cohort에서 perfect 분리.
🎯 핵심 기여도
- LoRA adapter — fine-tuned LLM의 지배적 배포 포맷 — 가 학습 데이터 포이즈닝으로 신뢰성 있게 backdoor 가능하면서도 baseline task 성능 유지 가능함을 입증.
- Qwen 2.5 1.5B prompt-injection 분류기에서 소량의 poisoned 예제만으로 clean-accuracy 보존 backdoor가 saturation까지 도달.
- 결과 backdoor가 구조 패턴 수준이 아닌 토큰 feature 수준에서 일반화 — RFC reference로 학습된 모델이 어떤 RFC reference에도 activate되지만 구조적으로 동일한 ISO·OWASP·CWE·NIST 인용으로 전이되지 않음 — 이 asymmetry가 공격자에게 유리(방어자는 "구조화 인용" 일반 probe 불가능).
- Backbone 크기·계열·LoRA rank·trigger string 가로지른 공격 특성 분석과 multi-seed adapter cohort에 대한 두 가지 complementary 탐지 경로 평가 — 두 probe-battery 통계(outlier_gap, mean_attack_rate) 기반 behavioral detector는 trigger 토큰 이웃과 probe battery 겹칠 때 poisoned·clean adapter perfect 분리, 안 겹쳐도 zero false positives에 high recall; weight 수준 통계(dimension-normalized Frobenius norm의 cross-module std)도 모델 실행 없이 cohort perfect 분리; 두 경로 결합하면 probe composition에 robust; causal patching은 backdoor를 중간·후반 layer MLP block의 down_proj에 localize.
💡 핵심 아이디어
LoRA 공급망 보안은 두 보완 신호로 운용 가능하다 — 모델을 실행하는 behavioral probe-battery 통계(outlier_gap·mean_attack_rate)와 모델을 실행하지 않는 weight 수준 dimension-normalized Frobenius std — 그리고 backdoor의 토큰 feature 수준 generalization 비대칭이 공격자에게 유리하다.
🔬 기술적 접근법
- **방법론**: LoRA 데이터 포이즈닝 backdoor + 두 가지 탐지 + causal patching.
- **핵심 기법**: (1) 학습 데이터의 소량 poisoning, (2) Behavioral detector — outlier_gap·mean_attack_rate 두 probe-battery 통계, (3) Weight-level detector — dimension-normalized Frobenius norm의 cross-module std, (4) Causal patching으로 MLP down_proj localization, (5) Scale·family·rank cross-replication.
📊 주요 결과
- 소량 poisoning으로 saturation backdoor·clean accuracy 유지.
- Behavioral·weight-level detector 모두 cohort perfect 분리.
- 두 경로 결합 robust(probe 조성 변화에 강건).
- Causal patching: 중·후반 MLP down_proj이 가장 강한 단일 projection 원인.
- Behavioral detector는 scale·family·rank cross에서 재튜닝 없이 전이; weight 통계는 base model에 calibration-bound; 공격 강도는 rank에 monotonic.
💭 의의 및 한계
**의의**: LoRA 공급망 위협의 정량 특성과 운용 가능 탐지 두 경로 제시, behavioral·weight 결합의 robustness, 토큰 feature 수준 generalization 비대칭 발견의 위협 분석 가치. **한계**: prompt-injection 분류기 중심 검증, weight-level 탐지의 base-model 의존 calibration, trigger·anchor 토큰의 모델 의존성으로 일반화 한계.
🚀 실용적 활용
- LoRA adapter 공급망 스캔.
- 오픈소스 adapter hub의 보안 audit.
- 안전한 LoRA 배포 파이프라인 구성.