ECCV 2024 | 清华等提出扰动生成器网络，用CLIP提升有目标对抗攻击迁移性

文章预览

介绍 目前，以深度神经网络为基础人工智能技术被广泛用于许多安全关键领域，如自动驾驶、金融系统、人脸识别。然而，众多研究指出，深度神经网络容易受到对抗样本的威胁，恶意攻击者可以对图片添加一些人眼难以感知的扰动，从而改变模型输出，欺骗模型。  现有研究表明，由白盒代理模型生成的对抗样本也能迁移欺骗其他未知的黑盒模型。然而，它们仅在无目标迁移攻击上表现较为良好。即由于过度依赖于白盒模型，这些方法在有目标黑盒迁移性上表现欠佳。目前，一种效果较为有潜力的方法是生成式有目标攻击算法，即基于数据的分布训练一个扰动生成器来产生有目标对抗攻击的对抗扰动。  生成式有目标攻击算法可被分为 single-target 和 multi-target 攻击方式。Single-target 攻击是为每一个攻击目标类别训练一个扰动生成器的算法，展现 ………………………………