对抗样本防御研究中的评估缺陷与代码漏洞分析

最新推荐文章于 2025-12-16 11:47:48 发布
原创 最新推荐文章于 2025-12-16 11:47:48 发布 · 920 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#对抗样本 #机器学习安全 #学术评估 #程序那些事 #AIGC #计算机视觉 #人工智能

(又一个)在IEEE S&P 2024被攻破的对抗样本防御

IEEE S&P 2024(顶级计算机安全会议之一)再次接受了一篇存在简单攻击即可攻破的对抗样本防御论文。该论文包含数学上不可能的声明,未遵循对抗鲁棒性评估的推荐指南,且其自身图表就提供了评估方法错误的所有必要证据。

调查发现,该论文的评估代码存在漏洞。仅修改一行代码即可攻破防御,将模型准确率降为0%。在将漏洞告知作者后,作者提出了新的防御组件来防止此攻击。但这个未在原始论文中描述的新组件存在第二个漏洞。同样,通过修改一行代码,可以攻破这个修改后的防御。

作者表示正在为第二次攻击制定另一个修复方案。但六周过去,他们仍未能描述必要的修复措施、提供代码或指出论文中描述修复的位置。随后向S&P程序主席求助也未获得新信息。由于会议将在两周后召开,已无法继续等待。一旦获得信息,将更新本文分析任何提议的变更。

更新!(2024-05-27):作者提供了针对第二次攻击的修复方案,但该方案同样无效。第三次通过修改一行代码即可攻破防御。

概述

本文包含两个故事:

  1. 一篇存在不可能声明的论文再次被顶级会议接受(去年会议也发生类似情况),本文旨在传授足够的对抗样本防御评估知识,使读者能发现评审者未能发现的错误。
  2. 针对特定防御论文的故事:论文被顶级会议接受后,作者在被告知漏洞后修改防御机制,但修改后的版本仍存在漏洞,且无法提供修复细节。

这两个问题并非该论文独有。对抗机器学习正成为重要研究领域:如果模型易被操纵做出恶意行为,将无法广泛部署机器学习模型。如果在顶级会议接受的论文中连基础问题都无法正确处理,前景令人担忧。

故事一:有缺陷的评估

背景:什么是对抗样本?

对抗样本是使机器学习模型出错的输入。例如,研究人员展示了如何制作对人类看起来正常但使自动驾驶汽车误认为是限速标志的对抗性停止标志;或近期如何构建使ChatGPT输出其原本拒绝生成的仇恨文本的对抗文本。

随着机器学习模型在大型企业中的广泛应用,对抗样本从纯学术关注变为实际问题。模型部署越多,攻击者越有动机尝试攻破它们,因此解决此问题变得重要。

对抗样本防御是使模型对这些攻击具有鲁棒性的方法。过去设计防御非常困难。作者已发表多篇论文攻破防御,总计攻破超过30个已发布防御及约12个未发布防御。(并非唯一攻破防御的研究者。)可以说:设计防御非常困难。

防御首先提出特定的鲁棒性声明。本节讨论的声明类型称为最大范数鲁棒性或L∞鲁棒性。

此类声明表示:如果攻击者对图像中每个像素的修改不超过特定量,模型仍将保持准确。例如,在MNIST数据集(手写数字数据集)上,

最低0.47元/天 解锁文章
对抗样本 (Adversarial Examples) 原理代码实例讲解
AI架构师小马
12-17 842
对抗样本,Adversarial Examples,机器学习,深度学习,安全,攻击,防御 1. 背景介绍 近年来,深度学习在计算机视觉、自然语言处理等领域取得了显著的进展,其强大的学习能力和预测精度为我们带来了许多便利。然而,随着深度学习模型的广泛应用,其安全性也逐渐受到关注。对抗样
对抗攻击:AI系统的安全漏洞,对抗样本生成的攻
AI天才研究院
08-05 797
对抗攻击:AI系统的安全漏洞,对抗样本生成的攻防 1.背景介绍 1.1 人工智能系统的崛起 随着深度学习和神经网络技术的快速发展,人工智能(AI)系统在诸多领域取得了令人瞩目的成就,包括计算机视觉、自然语言处理、语音识别等
19、对抗样本生成算法攻击模型解析
Python的专栏
10-05 54
本文系统介绍了多种对抗样本生成算法,包括FGSM、L-BFGS、CW攻击、EAD及迭代方法等,并结合生成对抗网络(GAN)原理进行解析。文章详细阐述了不同攻击模型(完美知识、有限知识、零知识对手)及其在图像分类恶意软件检测中的应用,揭示了对抗攻击带来的安全风险。同时,探讨了对抗训练、集成学习、异常检测和特征压缩等防御策略,通过对比分析和流程图展示了各类方法的优缺点。最后展望了对抗攻防技术的未来发展方向,强调其在保障机器学习系统安全中的重要意义。
32、对抗机器学习中的逃避攻击防御策略
gray5的博客
10-02 27
本文深入探讨了机器学习中的逃避攻击及其防御策略。首先介绍了逃避攻击的基本概念及其在图像分类、恶意软件检测等领域的实际影响,随后通过Web应用防火墙的实例演示了攻击生成过程,并分析了快速梯度符号法(FGSM)和雅可比显著性图方法(JSMA)两种主流攻击技术。文章进一步总结了对抗训练防御性蒸馏两类防御手段的原理局限性,讨论了逃避攻击在自动驾驶、金融、安全等行业带来的挑战。最后展望了多模态防御、自适应机制和强化学习在防御中的应用等未来趋势,提出了提升模型鲁棒性、可解释性和持续监测的安全建议,旨在为构建更安全
25、对抗机器学习中的防御机制
c7d8e的博客
09-20 53
本文系统探讨了对抗机器学习中的多种防御机制,涵盖基础博弈论模型、深度学习场景下的具体防御方法以及理论实际应用层面的最新研究进展。内容包括恶意软件检测、语义分割等任务中的鲁棒性提升策略,如迭代对抗再训练、空间上下文检测、集成防御、密度估计、鲁棒性证书和MagNet框架等。同时介绍了基于概率分布、生成模型和密码学的高级防御技术,并分析了各类方法的操作步骤效果。此外,还涵盖了理论框架下对分类器鲁棒性的上界下界研究,以及在工业物联网、网络物理系统等现实场景中的应用实践,全面展示了对抗机器学习防御领域的关键技术
2020CVPR对抗样本相关论文整理(有开源代码
ilalaaa的博客
11-29 4524
目录攻击防御物理 攻击 1. Towards Large yet Imperceptible Adversarial Image Perturbations withPerceptual Color Distance code链接 《朝向具有感知色差的大但不易察觉的对抗图像扰动 》 一般,用对抗效果和不可感知性来评估图像扰动的效果。其中,对于不可感知性的假设是,扰动要在RGB空间中达到严格的LpL_pLp​范数边界。在本论文中,作者通过采用一种人类色彩感知的方法来突破这一假设,即相对于感知颜色距离去最小
ICCV2025 | 对抗样本&智能安全方向论文汇总 | 持续更新中~
四口鲸鱼爱吃盐的博客
08-02 2621
总结 ICCV2025 对抗样本&智能安全方向相关论文及代码库链接,附有文章摘要。
9、数据安全对抗样本相关技术解析
pz890123的博客
07-16 29
本博文详细解析了PPACA方案在数据安全和隐私保护方面的应用,该方案能够在不泄露用户隐私的情况下进行可证明数据拥有的身份检查,并具备较高的安全性和较低的计算成本。同时,博文介绍了基于受限区域梯度屏蔽的对抗样本生成系统,该系统可用于评估神经网络的鲁棒性,具有高攻击成功率和小扰动优势。博文还对比了PPACA其他方案的性能,并探讨了其在自动驾驶、金融风控、面部支付等领域的应用前景。未来,PPACA方案有望在扩展性和跨领域应用方面进一步发展,而对抗样本生成系统则将推动神经网络安全研究的深入。
AI软件测试|人工智能测试中对抗样本生成攻略
daopuyun的博客
07-26 1521
对抗扰动原始图像共同构成了对抗样本。这一阶段需要攻击者使用训练数据和对抗样本生成技术生成干扰样本。随着生成对抗样本的迭代算法涌现,对抗样本的生成方法日益丰富,大致包含基于梯度的生成方式如 FGSM、基于优化的生成方式如JSMA、基于GAN的生成方式三类。总体来说,对抗样本的生成检测包含了以下几个基本步骤:1)
深度学习中的对抗攻击防御.pdf
08-18
- 分析对抗样本产生的内在机理,从理论上理解攻击防御之间的关系。 - 提出新的评估和测试框架,以更准确地衡量模型对对抗攻击的抵抗力。 以上内容是基于《深度学习中的对抗攻击防御》文档的描述和部分内容整理...
物体识别中的对抗样本分析防御:专家教你如何对抗网络攻击
[物体识别中的对抗样本分析防御:专家教你如何对抗网络攻击](https://img-blog.csdnimg.cn/img_convert/f22da6bbabad78ab31de98f9a54264b7.png) # 1. 对抗样本基础网络攻击概述 ## 1.1 对抗样本网络安全的...
先知AIGC洞察:家居服内容效率差距,被悄悄拉开了
wnsnsj的博客
12-12 329
我当时有点震惊,原来大家的“差距”已经悄悄形成了,而且不是因为谁更会拍,而是因为谁先把内容效率提上去了。上新节奏越来越快,素材需求量像泄洪一样往外冒,谁都知道内容重要,但很多团队根本没有时间去想“怎么做得更好”,每天只是在赶进度、救火、补坑。接入先知AI之后,他们把“场景拍摄”彻底从成本表里抽掉了,只保留模特 PG 素材,让系统自动生成各类场景。最近在跟家居服圈的朋友聊天,我听到最多的一句话是:“不是不会做内容,是根本做不过来了。现在家居服行业真正的分层,不再是体量大小,而是谁先把内容成本和效率做到可控。
AIGC】ViMax:1: 解决痛点及UV环境配置
突围
12-14 75
它很像一条“视频处理(抽帧/分镜/剪辑) + LLM/LangChain(理解/生成) + 向量检索Faiss(RAG/素材匹配) + 网络调用(多模型/网关/流式) + 结构化配置(pydantic)”的工作流。如果你把或项目要实现的核心功能(比如:视频分镜→生成分镜文案→检索素材→合成视频?)贴一小段,我可以按你的实际业务,把这些库进一步映射到“每一步会用到哪些库”。
AIGC Bar中的API站最新使用全指南(2025/12/12)
nmdbbzcl的博客
12-12 1022
不少桌面客户端的本质是“OpenAI API 的 UI 外壳”。只要它允许你填写自定义的 API Endpoint/Base URL,并支持自定义模型名列表,你就可以把它接到该站。类似的兼容思路也出现在其他平台的文档里:强调“接口完全兼容,所以很多应用只需要修改接口地址就可以使用”。虽然不同平台的控制台字段名不一样,但你要找的始终是同一类配置项。AIGC2D。
Create with Al AIGC图片案例征集活动!创意征集,让AIGC走进真实商业场景
volcenginetod的博客
12-16 181
当生成式人工智能的浪潮席卷商业领域,AIGC已从前沿概念跃升为驱动业务创新的核心生产力。
AIGC 商用实战派:集之互动用 “高可控” 接住品牌真需求
最新发布
zhijieqianyan的博客
12-16 285
例如,一只鞋子在镜头移动中突然鞋带消失,或者原本设定的“清晨阳光”变成了“黄昏余晖”,这些对于通用模型来说是常见的“发挥”,但对于广告主来说却是绝对的“红线”。集之互动展现出的技术深度证明了:AI视频生成的未来,不属于那些只会“生成”的工具,而属于那些能够“控制”的平台。通过基于国家备案的自研“无垠大模型”广告场景专属控制算法,集之互动成功破解了AI视频的“幻觉”难题,将“随机的艺术”变成了“可控的工业”。对于整个行业而言,这标志着AI视频技术终于跨过了商业化的门槛,迎来了真正的“实战时代”。
AIGC 版权争夺战:生成内容的归属、侵权保护难题破解
wangwenylng223的博客
12-12 829
创作者应在文章显著位置注明 AI 参情况,包括使用工具名称、修改内容(如结构调整、代码验证、观点深化等),示例如下:"本文创作方式为 AI 工具辅助 + 人工深度修改,使用工具为 DeepSeek,修改内容包括补充司法案例、验证技术方案可行性、深化行业分析观点,修改后版本著作权归作者所有"。直接引用时应标注 "作者 + 文章标题 + 链接",如:"AI 生成内容是否构成作品需要个案判断,核心在于作者的智力投入是否达到独创性标准"(来源:中国法院网,《AI 一键生成的 “爆款” 图片,版权到底归谁?
AIGC】RealVideo:一种基于自回归扩散视频生成的实时流媒体对话系统
qq_44091004的博客
12-15 541
在实时流视频生成中,参考图像中的标记是理想的接收器标记,因为它们能够引导模型在整个生成过程中参考图像保持一致。幸运的是,由于 RoPE 是一种相对位置编码,我们可以通过简单地调整目标标记的位置索引,确保滑动窗口注意力机制下推理和训练之间的严格对齐。幸运的是,在音频驱动的视频生成中,这种限制通常是可以接受的,原因有二:(i) 音频流严格限制了每一帧的内容;在常微分方程蒸馏之后,模型将进一步训练以匹配教师模型,方法是最小化“真实分数模型”和“虚假分数模型”概率密度之间的梯度差异,如[3][4]所述。
工程化实践:AIGC创作者如何构建可扩展的创作工作流
2501_92440658的博客
12-12 702
系统化思维:将创作视为工程问题而非艺术随性数据驱动:基于数据而非直觉进行决策自动化优先:任何重复性工作都应该自动化质量控制:建立多层质量控制体系。
ai安全对抗样本入门
11-10
对抗样本是指通过对输入数据进行微小改动,就能够欺骗人工智能系统,导致系统产生误判或错误行为的样本。对抗样本是AI安全领域的一个重要问题,因为它可能导致人工智能系统在实际应用中产生严重后果。 对抗样本的生成方法有很多,包括添加噪音、修改像素值等。对抗样本的目的是让系统误判,以此来测试和评估AI系统的安全性和鲁棒性。对抗样本的设计是一个技术活,需要深入理解AI模型的工作原理,并且具备一定的数学和算法基础。 对抗样本研究的目标之一是找到一种普遍适用于各种AI模型的对抗样本生成方法。目前已经有一些方法被提出,如FGSM(快速梯度符号法)、PGD(投影梯度下降法)等。这些方法通过在输入样本中添加或修改一些微小的扰动,能够使得AI系统出现误判。 AI安全领域研究对抗样本的目的是提高AI系统的鲁棒性和安全性。通过研究对抗样本,可以帮助发现和修复AI系统在实际应用中存在的漏洞缺陷。同时,对抗样本研究也有助于推动AI系统的发展,使其更加健壮和可靠。 然而,对抗样本也可能被恶意使用,例如攻击识别系统、篡改图像等。因此,研究对抗样本不仅要关注如何生成对抗样本,还要关注如何防御和抵抗对抗样本攻击。AI安全研究者需要不断改进算法和技术,提高AI系统的对抗样本鲁棒性。 总之,对抗样本是AI安全领域的一个重要问题。研究对抗样本有助于发现和修复AI系统的漏洞缺陷,提高AI系统的鲁棒性和安全性。然而,对抗样本研究也需要关注如何防御和抵抗对抗样本攻击,以确保AI系统能够在实际应用中的安全可靠性。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值