TrustVLA : défense guidée par mécanisme contre les portes dérobées des modèles vision-langage-action
Des chercheurs publient TrustVLA, une defense contre les portes derobees dissimulees dans les modeles Vision-Language-Action (VLA), ces reseaux qui pilotent des robots a partir d'instructions en langage naturel et d'images. Le papier, mis en ligne sur arXiv le 15 juillet 2026, etudie deux attaques independantes, BadVLA et INFUSE, cette derniere survivant meme a un reajustement sur donnees propres en aval. Un modele VLA empoisonne se comporte normalement sur des observations saines, mais un declencheur visuel discret suffit a devier une politique robotique sur un horizon long, sans defaillance visible avant l'echec. Les auteurs identifient un mecanisme recurrent dans les modeles compromis testes: une "empreinte causale compacte", un support visuel restreint, concentre spatialement, capte par les mecanismes d'attention, dont le masquage ramene le score d'evolution des preuves internes a la plage normale. TrustVLA adapte le cadre d'evidence de Dirichlet, concu pour la classification fiable, afin de surveiller l'incertitude epistemique token par token et couche par couche. Avec un petit jeu de calibration propre, l'outil detecte une evolution anormale, localise le support compact par chute de score contrefactuelle, puis reconstruit l'observation par inpainting localise. Les tests sur OpenVLA/LIBERO et en transfert vers pi_0.5 montrent une reduction du taux de succes des attaques sans degrader les performances sur taches propres.
Ce travail cible un angle mort critique pour l'industrie robotique: les pipelines de deploiement VLA, souvent batis sur des poids pre-entraines telecharges, ne sont generalement pas audites par les utilisateurs finaux, ouvrant une surface d'attaque proche de la chaine d'approvisionnement logicielle. Pour des integrateurs deployant des bras manipulateurs ou robots mobiles pilotes par des modeles fondation, une defense sans reentrainement change la donne face au cout habituel d'une purge ou recalibration complete. Que INFUSE resiste a un fine-tuning sur donnees saines contredit l'hypothese rassurante qu'un reajustement en aval suffirait a nettoyer un modele compromis, et rappelle que les defenses classiques de vision ou de langage n'expliquent ni la representation interne d'un modele declenche, ni comment restaurer un comportement normal sans tout reentrainer.
La recherche VLA s'est acceleree depuis RT-2 et OpenVLA jusqu'a des systemes generalistes comme pi0 chez Physical Intelligence ou GR00T N2 chez Nvidia, une generalisation accrue qui a fait emerger en parallele une litterature sur les attaques par backdoor, dont BadVLA et INFUSE sont deux illustrations issues d'equipes distinctes. TrustVLA prolonge les travaux sur la quantification d'incertitude epistemique en les adaptant a des politiques d'action sequentielles. A ce stade, la contribution reste academique, validee sur LIBERO et en transfert vers pi0.5, sans indication de deploiement industriel; les suites attendues portent sur l'extension a d'autres familles de VLA et sur des attaques adaptatives concues pour contourner ce mecanisme de defense.




