物理的なブラックボックスのハードラベル設定は、おそらくサイバーフィジカルビジョンシステムにとって最も現実的な脅威モデルです。この設定では、攻撃者はモデルへのクエリアクセスのみを持ち、信頼情報なしでトップ1クラスのラベルのみを受け取ります。環境の変化に強い小さな物理的なステッカーを作成することは、離散的で不連続なハードラベルスペースでは困難です。攻撃は、内部で摂動する小さな形状を設計し、それを満たすための堅牢なノイズを見つける必要があるためです。残念ながら、ハードラベル攻撃を最小化する既存のℓ_2またはℓ_∞は、そのような堅牢な物理的摂動攻撃を見つけることには容易に拡張できないことがわかりました。したがって、コンピュータビジョンモデルに対するハードラベルの物理的攻撃のための最初のアルゴリズムであるGRAPHITEを提案します。物理的変動のロバスト性の推定値である「存続可能性」は、新しい方法で小さなマスクを生成するために使用でき、勾配のない最適化で最適化するのに十分に滑らかな関数であることを示します。 GRAPHITEを使用して、交通標識分類器と、クエリアクセスのみを使用して公開されている自動ナンバープレート認識(ALPR)ツールを攻撃します。実世界のフィールドテストで両方のツールを評価して、物理世界の堅牢性を測定します。 ALPRツールでは、95.7%の物理画像で一時停止標識が速度制限30 km / hr標識として誤って分類され、75%の物理画像でエラーが発生することに成功しました。
The physical, black-box hard-label setting is arguably the most realistic threat model for cyber-physical vision systems. In this setting, the attacker only has query access to the model and only receives the top-1 class label without confidence information. Creating small physical stickers that are robust to environmental variation is difficult in the discrete and discontinuous hard-label space because the attack must both design a small shape to perturb within and find robust noise to fill it with. Unfortunately, we find that existing ℓ_2 or ℓ_∞ minimizing hard-label attacks do not easily extend to finding such robust physical perturbation attacks. Thus, we propose GRAPHITE, the first algorithm for hard-label physical attacks on computer vision models. We show that "survivability", an estimate of physical variation robustness, can be used in new ways to generate small masks and is a sufficiently smooth function to optimize with gradient-free optimization. We use GRAPHITE to attack a traffic sign classifier and a publicly-available Automatic License Plate Recognition (ALPR) tool using only query access. We evaluate both tools in real-world field tests to measure its physical-world robustness. We successfully cause a Stop sign to be misclassified as a Speed Limit 30 km/hr sign in 95.7% of physical images and cause errors in 75% of physical images for the ALPR tool.