Neurale Operator-Digital Twins: Angriffe mit wenigen, plausiblen Störungen

Neurale Operator-Modelle werden zunehmend als Kernkomponenten von Digital Twins für Kernkraftwerke und andere Energiesysteme eingesetzt. Sie ermöglichen die Echtzeit‑Rekonstruktion von Feldgrößen aus wenigen Sensorwerten und versprechen damit eine revolutionäre Überwachung und Optimierung von Anlagen.

Eine aktuelle Studie zeigt jedoch, dass diese Modelle gegenüber extrem spärlichen, aber physikalisch plausiblen Störungen hochgradig anfällig sind. Mit weniger als 1 % der Eingänge können gezielte Änderungen die Vorhersagen komplett zerstören, ohne dass klassische Validierungsmetriken oder Anomalieerkennung (z. B. z‑Score‑Tests) Alarm schlagen.

Die Angriffe wurden mithilfe einer gradientenfreien Differential‑Evolution auf vier unterschiedlichen Operator‑Architekturen durchgeführt. Die Resultate sind alarmierend: Der relative L₂‑Fehler stieg von etwa 1,5 % auf 37 – 63 %, während die Modelle weiterhin als korrekt validiert wurden. Alle erfolgreichen Angriffe wurden von Standard‑Anomalie‑Detektoren nicht erkannt.

Zur Analyse wurde die „effektive Störungsdimension“ d_eff eingeführt, ein Jacobian‑basierter Indikator, der zusammen mit der Sensitivitätsstärke ein zweifaktorielles Schwachstellenmodell liefert. Dieses Modell erklärt, warum Architekturen mit extrem konzentrierter Sensitivität (z. B. POD‑DeepONet, d_eff ≈ 1) nicht unbedingt am leichtesten angreifbar sind – niedrige Rangsprojekte begrenzen die maximale Fehlerausbreitung. Stattdessen erzielen Modelle mit moderater Konzentration und ausreichender Verstärkung (S‑DeepONet, d_eff ≈ 4) die höchsten Angriffserfolge.

Die Untersuchung zeigt zudem, dass gradientenfreie Suchmethoden die gradientenbasierte Variante (PGD) bei Architekturen mit Gradientenpathologien deutlich übertreffen. Diese Erkenntnisse unterstreichen die Notwendigkeit, Robustheitsprüfungen in die Entwicklung von Digital Twins einzubeziehen, bevor sie in sicherheitskritischen Bereichen eingesetzt werden.