単一のブラックボックス対抗的パッチ攻撃による画素単位の回帰タスクの脆弱性の特定

本研究は、画素単位の回帰タスク(モノラル深度推定、光流推定など)に対する初の統一的なブラックボックス対抗的パッチ攻撃フレームワークを提案し、これらモデルの脆弱性を明らかにする。

本研究は、画素単位の回帰タスクに対する初のブラックボックス対抗的パッチ攻撃フレームワークを提案している。 画素単位の回帰タスクには、モノラル深度推定(MDE)、光流推定(OFE)などが含まれ、自動運転、拡張現実、ビデオ合成などの重要なアプリケーションに利用されている。 従来の白箱攻撃とは異なり、ブラックボックス攻撃は現実的により脅威となる可能性がある。例えば、Teslaの自動運転システムのモデルは非公開で、Googleの深度推定APIなどはオンラインサービスとして提供されており、内部構造にアクセスできない。 提案手法BADPARTは、確率的な正方形領域のサンプリングと得点ベースの勾配推定を用いて、高解像度の入力画像に対する効率的な対抗的パッチ生成を実現する。 7つのMDEおよびOFEモデルに対する評価実験では、提案手法が既存の3つのベースライン手法を上回る攻撃性能と効率性を示した。さらに、Googleの深度推定APIに対しても43.5%の相対的な距離誤差を達成した。 現状の防御手法では提案手法を効果的に防ぐことができず、画素単位の回帰タスクの脆弱性が明らかになった。

提案手法BADPARTは、Monodepth2モデルに対して88.87メートルの深度推定誤差を達成した(800K回のクエリ)。 BADPARTは、FlowNet2モデルに対して25.53ピクセルのエンドポイントエラーを達成した(800K回のクエリ)。 Google深度推定APIに対して、BADPARTは43.5%の相対的な距離誤差を達成した(50K回のクエリ)。

"本研究は、画素単位の回帰タスクに対する初のブラックボックス対抗的パッチ攻撃フレームワークを提案している。" "提案手法BADPARTは、確率的な正方形領域のサンプリングと得点ベースの勾配推定を用いて、高解像度の入力画像に対する効率的な対抗的パッチ生成を実現する。" "現状の防御手法では提案手法を効果的に防ぐことができず、画素単位の回帰タスクの脆弱性が明らかになった。"