화학 인지적 허가(Chemistry-aware Admission) 하에서의 분자 그래프 백도어 재고찰

분자 그래프 신경망 (GNNs)에 대한 백도어 공격은 일반적으로 추상적인 그래프 편집으로 평가되지만, 실제 분자 학습 파이프라인은 임의의 그래프로 학습하지 않습니다. 분자 기록은 먼저 파싱 (parsing), 정제 (sanitization), 표준화 (canonicalization), 그리고 그래프-문자열 일관성 검사 (graph-string consistency checks)를 통과해야 합니다. 우리는 이 간과된 허가 단계 (admission stage)를 ChemGuard로 공식화하며, 이는 기존 방어 체계를 보완하는 동시에 제출된 분자 기록이 실제 학습 파이프라인에 진입할 수 있는지 테스트하는 운영 프로토콜입니다. ChemGuard는 분자 문자열이 정제 가능하고, 해당 문자열로부터 재구성된 그래프가 제출된 분자 그래프와 일치할 때만 기록을 허가합니다. 이러한 운영 관점 하에서, 기존의 많은 그래프 기반 백도어들은 그 독성 (poisons)이 화학적으로 유효하지 않거나 표현이 일치하지 않기 때문에 겉으로 보이는 효능의 상당 부분을 상실합니다. 그런 다음 우리는 허가 검사 (admission checks)만으로는 분자 백도어를 배제하기에 불충분하다는 것을 보여줍니다. 우리는 화학적으로 실행 가능한 모티프-앵커 부착 (motif-anchor attachments)을 구축하고, 지문 기반 타니모토 유사도 (Tanimoto similarity)를 사용하여 깨끗한 타겟 클래스 분자와의 유사성에 따라 허가된 후보를 순위 매기는 허가 인지형 (admission-aware) 분자 백도어 공격인 ChemBack을 제안합니다. ChemBack은 트리거 선택 과정에서 모델 프리 (model-free) 방식으로, 분자 구조, 타겟 라벨, 지문 (fingerprints), 그리고 공개된 유효성 검사를 사용하지만, 피해 모델, 대리 GNN (surrogate GNN), 학습된 임베딩 (learned embedding), 그래디언트 (gradient), 로짓 (logit), 또는 학습 코드에 대한 접근은 필요하지 않습니다. 다양한 분자 벤치마크, 검증기, 아키텍처 및 방어 체계 전반에 걸쳐, extbf{ChemBack}은 깨끗한 정확도 (clean accuracy)를 유지하면서도 완전히 허가된 독성 (poisons)을 통해 높은 공격 성공률을 달성합니다. 우리의 결과는 양면적인 교훈을 보여줍니다. 즉, 화학 인지적 허가 (chemistry-aware admission)는 많은 그래프 전용 백도어를 억제하지만, 화학적으로 유효하고 타겟에 정렬된 분자 백도어는 여전히 실질적인 위협으로 남아 있습니다.