このホワイトペーパーでは、複数の出力特性とアーキテクチャ間の多様性のためにブラックボックス方式で攻撃するのが難しい、検出器に対する転送可能な敵対的攻撃に焦点を当てています。高い攻撃転送可能性を追求するためのもっともらしい方法の1つは、検出器全体で共通のプロパティを見つけることです。これにより、共通の弱点の発見が容易になります。私たちは、検出器の通訳からの関連性マップがそのような特性であることを最初に提案しました。これに基づいて、Relevance Attack on Detectors(RAD)を設計します。これは、既存の結果を20%以上超える、最先端の転送可能性を実現します。 MS COCOでは、8つのブラックボックスアーキテクチャすべての検出mAPが半分以上になり、セグメンテーションmAPにも大きな影響があります。 RADの優れた転送可能性を考慮して、オブジェクト検出とインスタンスセグメンテーションのための最初の敵対的データセット、つまりCOntext内の敵対的オブジェクト(AOCO)を生成します。これは、検出器の堅牢性を迅速に評価および改善するのに役立ちます。
This paper focuses on high-transferable adversarial attacks on detectors, which are hard to attack in a black-box manner, because of their multiple-output characteristics and the diversity across architectures. To pursue a high attack transferability, one plausible way is to find a common property across detectors, which facilitates the discovery of common weaknesses. We are the first to suggest that the relevance map from interpreters for detectors is such a property. Based on it, we design a Relevance Attack on Detectors (RAD), which achieves a state-of-the-art transferability, exceeding existing results by above 20%. On MS COCO, the detection mAPs for all 8 black-box architectures are more than halved and the segmentation mAPs are also significantly influenced. Given the great transferability of RAD, we generate the first adversarial dataset for object detection and instance segmentation, i.e., Adversarial Objects in COntext (AOCO), which helps to quickly evaluate and improve the robustness of detectors.