要旨: 広告(敵対的)攻撃下で物体検出器を監視し防御するために用いられる主要なツールは、精度が低下すると、それに連動して検出数も同時に減少すると仮定している。しかし、この結びつきは測定されたのではなく、仮定されたものである。我々は単一のモデルにおいて観測された反例を報告する。標準的なPGDの下で、スパイキングニューラルネットワーク(SNN)による物体検出器であるEMS-YOLOは、検出の70%以上を保持しつつ、mAPは0.528から0.042へと崩壊する。検出数を保持しながら精度が崩れるこの現象を、未標的評価を支配する抑制と区別するために、品質破損(Quality Corruption: QC)と呼ぶ。4つのSNNアーキテクチャと2つの脅威モデル(l-∞およびl-2)において、QCは試験した4つの検出器のうち1つ(EMS-YOLO)にのみ現れる。このモデルでは、5つすべての標準的な防御コンポーネントがQCの検出または軽減に失敗し、防御のエコシステムが、単一の基盤(基板)に対して調整された共有の仮定に依存している可能性を示唆している。本結果は、我々の知る限り、敵対的失敗モードが基盤に依存し得ることを示す最初の証拠を提供する。
巧みに嘘をつく:敵対的ロバスト性は基板(サブストレート)依存になり得る
arXiv cs.CV / 2026/4/2
💬 オピニオンSignals & Early TrendsIdeas & Deep AnalysisModels & Research
要点
- 本研究は、物体検出器に対する敵対的監視・防御において「攻撃によってmAPが低下すると、検出数も同様に比例して低下する」という一般的な前提に異議を唱える。
- スパイキングニューラルネットワーク(SNN)の物体検出器(EMS-YOLO)に対して、「Quality Corruption(QC)」という失敗モードを報告する。標準的なPGD攻撃によりmAPは0.528から0.042に低下する一方で、70%以上の検出は保持される。
- QCは、テストした4つのSNNアーキテクチャのうち1つのみにおいてのみ観測された(l-infinityおよびl-2の両方の脅威モデルで)。これは、敵対的な失敗モードが基板/モデルに強く依存し得ることを示唆する。
- 著者らは、影響を受けたモデルに対して、5つの標準的な防御コンポーネントがQCを検出または軽減できないことを見出した。これは、防御が不正確な「基板間の結合(クロスサブストレート結合)仮定」に合わせて調整されている可能性を示している。
