CIFAR10 이미지 분류기의 한계: 인간 수준의 적대적 견고성 달성 불가능

CIFAR10 이미지 분류기의 적대적 견고성은 인간 수준에 도달할 수 없으며, 이는 현재의 적대적 공격 방식이 생성하는 무효한 이미지 데이터로 인한 것이다.

이 논문은 CIFAR10 이미지 분류기의 적대적 견고성 문제를 심층적으로 분석한다. 주요 내용은 다음과 같다: 규모 확장 법칙(scaling law)을 개발하여 모델 크기, 데이터 크기, 합성 데이터 품질이 적대적 견고성에 미치는 영향을 분석했다. 이를 통해 기존 방법론의 비효율성을 발견하고, 더 효율적인 학습 설정을 제안했다. 이를 바탕으로 새로운 SOTA 모델을 개발했다. 그러나 규모 확장 법칙은 적대적 견고성이 90% 수준에서 수렴한다는 것을 예측했다. 이는 인간 수준의 견고성에 크게 못 미치는 수준이다. 이를 확인하기 위해 소규모 인간 평가 실험을 수행했다. 실험 결과, 인간 사용자들도 SOTA 모델이 오분류한 이미지의 약 10%를 정확히 분류하지 못했다. 이는 현재의 적대적 공격 방식이 생성하는 무효한 이미지 데이터로 인한 것으로 나타났다. 이러한 발견을 바탕으로, 적대적 공격 방식을 개선하여 이미지의 유효성을 고려할 필요가 있음을 제안했다. 현재의 벤치마크 방식은 인간 수준의 견고성을 정확히 반영하지 못하므로, 이를 개선해야 한다. 결론적으로, CIFAR10 이미지 분류기의 적대적 견고성 문제는 근본적인 한계를 가지고 있으며, 이를 해결하기 위해서는 적대적 공격 방식의 근본적인 개선이 필요하다.

인간 사용자의 SOTA 모델 오분류 이미지 2,629개 중 727개(약 27.7%)가 무효한 이미지로 분류되었다. 인간 사용자의 평균 적대적 이미지 분류 정확도는 90.46%로 나타났다. 무효 이미지를 제외할 경우 인간 사용자의 평균 적대적 이미지 분류 정확도는 96.46%로 나타났다.

"CIFAR10 이미지 분류기의 적대적 견고성은 인간 수준에 도달할 수 없으며, 이는 현재의 적대적 공격 방식이 생성하는 무효한 이미지 데이터로 인한 것이다." "현재의 벤치마크 방식은 인간 수준의 견고성을 정확히 반영하지 못하므로, 이를 개선해야 한다."