Физические атаки при печати

Предиктивный ИИ с глубоким обучением уязвим к состязательным примерам — тонким, незаметным для человека изменениям, которые могут приводить к ошибкам классификации или ускользать от обнаружения. Хотя большинство исследований направлено на цифровые состязательные атаки, многим реальным приложениям необходимы атаки для функционирования в физической области. Физические состязательные примеры должны выдерживать цифро-аналоговые и аналого-цифровые преобразования с минимальными искажениями. В данной статье мы исследуем две атаки обхода защиты в физической области по принципу «белого ящика». Сначала мы исследуем систему атрибуции исходного принтера на основе ИИ, которая определяет принтер, использованный для печати документа. Эта задача особенно сложна, поскольку процесс печати и сканирования (P&S) повторно вводит специфические особенности принтера, потенциально сводя атаку на нет. Для решения этой проблемы мы применяем подход «Ожидание вместо преобразования», включающий реалистичную симуляцию процесса P&S с использованием двух моделей генеративно-состязательной сети, специально обученных для этой цели. Чтобы продемонстрировать общность нашего подхода, мы также применяем его для атаки на детектор номерных знаков. Созданные вредоносные образцы остаются эффективными даже после печати и повторной съемки с помощью камеры мобильного телефона. Экспериментальные результаты подтверждают, что наш метод значительно повышает вероятность успеха атак в обоих приложениях, превосходя базовые подходы. Эти результаты подтверждают осуществимость и эффективность мощных вредоносных атак в физической области для различных задач компьютерного зрения. - Print and Scan Simulation for Adversarial Attacks on Printed Images

См. также другие публикации по теме физические атаки