歩行者検出モデルに対する、物理世界で転移可能な敵対的パッチ

arXiv cs.CV / 2026/4/27

📰 ニュースIdeas & Deep AnalysisModels & Research

共有:

要点

この論文は、物理的な敵対的パッチが歩行者検出システムを実際に大きく損なう可能性があり、監視や自動運転において重大な安全リスクを引き起こし得ると指摘している。
先行研究の物理攻撃には、現場での実用性を妨げる2つの課題があるとしており、具体的には複数段の検出パイプラインへの十分な攪乱ができず後段モジュールが回復してしまう点、さらに現実の物理的なばらつきに対する頑健性が弱い点を挙げている。
提案手法TriPatchは、検出パイプラインの異なる段階を同時に狙うマルチステージ協調型攻撃として、検出信頼度の抑制、バウンディングボックスのオフセット増幅、NMS（非最大抑制）の攪乱を組み合わせたトリプレット損失を設計している。
現実環境での適応性を高めるために、パッチの色分布を安定化させる外観一貫性損失を追加し、さらに複雑な物理的摂動への耐性を高めるためのデータ拡張も取り入れている。
実験では、TriPatchが複数の歩行者検出器に対して既存手法よりも高い攻撃成功率を達成したと報告している。

Abstract

物理的な敵対的パッチ攻撃は、歩行者検出を深刻に脅かし、監視および自動運転システムが歩行者を見落とす原因となり、重大な安全リスクを生み出します。制御された環境ではその有効性が示されている一方で、既存の物理攻撃には実運用上、2つの主要な制約があります。第一に、複数段の意思決定パイプラインを体系的に攪乱できず、残存モジュールが摂動を相殺できてしまう点です。第二に、複雑な物理的変動をモデル化できず、結果として頑健性が低下する点です。これらの制約を克服するために、本研究では、物理的多様性下での頑健性強化と、マルチステージの協調的攻撃を組み合わせた、新しい歩行者向け敵対的パッチ生成手法であるTriPatchを提案します。具体的には、検出信頼度の抑制、バウンディングボックスのオフセット増幅、非最大抑制（NMS）の攪乱からなるトリプレット損失を設計し、それらを検出パイプラインの異なる段階にまたがって同時に作用させます。さらに、パッチの色の分布を制約するための外観整合性損失を導入し、多様な撮像条件下での適応性を向上させます。加えて、複雑な物理的摂動に対する頑健性をさらに高めるためにデータ拡張も取り入れます。大規模な実験により、TriPatchが既存手法と比べて複数の検出器モデルにわたってより高い攻撃成功率を達成することが示されています。