Evaluating the Adversarial Robustness of Semantic Segmentation: Trying Harder Pays Off

机器学习模型容易受到微小的对抗性输入扰动的影响，这些扰动被优化为导致非常大的输出误差。为了衡量这种脆弱性，我们需要可靠的方法来找到这样的对抗性扰动。对于图像分类模型，已经出现了经得起时间考验的评估方法。然而，我们认为在语义分割领域，一个对对抗性扰动的敏感性的良好近似需要比目前被认为是令人满意的要多得多。为了支持这一观点，我们在一项广泛的实证研究中重新评估了许多著名的鲁棒分割模型。我们提出了新的攻击方法，并将它们与文献中最强的攻击方法相结合。我们还对模型的敏感性进行了详细的分析。结果表明，大多数最先进的模型对对抗性扰动的敏感性比先前报告的要高得多。我们还展示了一个大小偏差：即使大物体是鲁棒的，小物体通常也更容易受到攻击，这是目前评估指标没有揭示的现象。我们的结果还表明，需要一个多样化的强大攻击集合，因为不同的模型通常对不同的攻击方法容易受到攻击。

论文试图评估语义分割模型对于微小对抗扰动的敏感性，以及小物体和大物体之间的敏感性差异。这是一个当前领域的问题。

论文提出了一种新的攻击方法，并对多个语义分割模型进行了全面的实验评估。结果表明，大多数现有的模型对于对抗扰动的敏感性比之前报道的要高得多。

论文使用了多个数据集，并提出了一种新的攻击方法。实验结果表明，小物体往往比大物体更容易受到攻击。作者还提出了一种新的评估指标，可以更好地衡量模型的鲁棒性。论文对当前领域的研究具有重要的启示意义。

在相关研究方面，最近的一些工作包括《Adversarial Examples Are Not Bugs, They Are Features》、《Adversarial Examples for Semantic Segmentation and Object Detection》等。