BadPart: Unified Black-box Adversarial Patch Attacks against Pixel-wise Regression Tasks

像单目深度估计（MDE）和光流估计（OFE）这样的像素级回归任务已经广泛应用于我们日常生活中的自动驾驶、增强现实和视频合成等领域。尽管某些应用程序具有安全关键性或具有社会意义，但这些模型的对抗性鲁棒性尤其在黑盒场景下还没有得到足够的研究。在这项工作中，我们介绍了第一个针对像素级回归任务的统一黑盒对抗性贴片攻击框架，旨在识别这些模型在基于查询的黑盒攻击下的漏洞。我们提出了一种新颖的基于方块的对抗性贴片优化框架，并采用概率方块采样和基于分数的梯度估计技术来有效地和高效地生成贴片，克服了以前黑盒贴片攻击的可扩展性问题。我们的攻击原型名为BadPart，对MDE和OFE任务进行了评估，使用了总共7个模型。BadPart在攻击性能和效率方面超过了3个基准方法。我们还将BadPart应用于Google在线服务的人像深度估计中，在50000个查询中导致43.5％的相对距离误差。最先进的对抗性防御措施不能有效地防御我们的攻击。

本论文旨在针对像素级回归任务中的黑盒攻击漏洞问题，提出了第一个统一的黑盒对抗性修补攻击框架，以识别这些模型在查询式黑盒攻击下的脆弱性。

论文提出了一种基于方块的对抗性修补优化框架，并采用概率方块采样和基于分数的梯度估计技术，有效地和高效地生成修补，克服了以前黑盒修补攻击的可扩展性问题。

论文的攻击原型BadPart在MDE和OFE任务上进行了评估，使用了总共7个模型。BadPart在攻击性能和效率方面超越了3个基线方法。论文还在Google在线服务中应用了BadPart，导致50K个查询的相对距离误差达到43.5％。SOTA对策不能有效防御我们的攻击。

最近的相关研究包括：1. Adversarial Patch论文；2. 对抗性攻击和防御在计算机视觉中的广泛应用；3. 对抗性攻击的黑盒攻击模型和攻击算法。