最新のオブジェクト検出器は敵対的な例に対して脆弱であり、実際のアプリケーションにリスクをもたらす可能性があります。スパース攻撃は重要なタスクであり、画像全体に対する一般的な敵対的摂動と比較して、一般に ℓ_0 ノルム制約によって正則化される潜在的なピクセルを選択し、同時に対応するテクスチャを最適化する必要があります。 ℓ_0 ノルムの非微分可能性は課題をもたらし、オブジェクト検出の攻撃に関する多くの研究では、それらに対処するために手動で設計されたパターンが採用されましたが、これは無意味でオブジェクトから独立しているため、比較的貧弱な攻撃パフォーマンスにつながります。この論文では、Adversarial Semantic Contour (ASC) を提案します。これは、オブジェクト輪郭のだまされた事前確率を使用したスパース攻撃のベイジアン定式化の MAP 推定です。オブジェクトの事前輪郭は、ピクセル選択の検索スペースを効果的に削減し、セマンティック バイアスを導入することで攻撃を改善します。広範な実験により、ASC は、ホワイト ボックス シナリオで COCO のオブジェクト領域のピクセルの 5% 未満を変更することで、異なるアーキテクチャ (\ 例: 1 段階、2 段階、トランスフォーマー) を備えた 9 つの最新の検出器の予測を損なう可能性があることが示されています。そして、ブラックボックス シナリオの約 10% です。さらに自動運転システムのデータセットにまで攻撃を拡張し、その有効性を検証します。さまざまなアーキテクチャを備えたオブジェクト検出器の一般的な弱点である輪郭と、安全性に敏感なシナリオでそれらを適用する際に必要な注意について注意して結論付けます。
Modern object detectors are vulnerable to adversarial examples, which may bring risks to real-world applications. The sparse attack is an important task which, compared with the popular adversarial perturbation on the whole image, needs to select the potential pixels that is generally regularized by an ℓ_0-norm constraint, and simultaneously optimize the corresponding texture. The non-differentiability of ℓ_0 norm brings challenges and many works on attacking object detection adopted manually-designed patterns to address them, which are meaningless and independent of objects, and therefore lead to relatively poor attack performance. In this paper, we propose Adversarial Semantic Contour (ASC), an MAP estimate of a Bayesian formulation of sparse attack with a deceived prior of object contour. The object contour prior effectively reduces the search space of pixel selection and improves the attack by introducing more semantic bias. Extensive experiments demonstrate that ASC can corrupt the prediction of 9 modern detectors with different architectures (\e.g., one-stage, two-stage and Transformer) by modifying fewer than 5% of the pixels of the object area in COCO in white-box scenario and around 10% of those in black-box scenario. We further extend the attack to datasets for autonomous driving systems to verify the effectiveness. We conclude with cautions about contour being the common weakness of object detectors with various architecture and the care needed in applying them in safety-sensitive scenarios.