Benchmarking Adversarial Robustness and Adversarial Training Strategies for Object Detection

Cet article propose un cadre d'évaluation unifié pour les attaques adverses en détection d'objets, révélant une faible transférabilité des attaques vers les architectures basées sur des transformateurs et démontrant qu'une stratégie d'entraînement robuste optimale combine divers types d'attaques à forte perturbation.

L'essentiel

🕵️‍♂️ Le Grand Jeu de la Camouflage : Pourquoi les robots ne voient plus rien

Imaginez que vous avez un robot très intelligent (comme une voiture autonome ou un drone) qui a appris à reconnaître les objets dans la rue : les piétons, les panneaux de stop, les voitures. C'est comme un détective très rapide.

Mais il y a un problème : ce détective est très naïf. Il suffit de lui montrer une image modifiée subtilement pour qu'il se trompe complètement. C'est ce qu'on appelle une attaque adversaire.

Ce papier de recherche pose trois questions cruciales :

1. Comment juger équitablement qui est le meilleur "tricheur" (l'attaquant) ?
2. Est-ce que les trucs qui fonctionnent sur les vieux robots fonctionnent aussi sur les nouveaux ?
3. Comment entraîner nos robots pour qu'ils deviennent des experts en détection de triche ?

---

1. Le Chaos des Règles du Jeu (Le Problème)

Avant ce papier, c'était le chaos total. Imaginez un tournoi de boxe où chaque combattant utilise des règles différentes :

• L'un se bat sur un ring de 10 mètres, l'autre sur un tapis de 5 mètres.
• L'un gagne s'il touche le visage, l'autre s'il touche le genou.
• Certains utilisent des poings, d'autres des pieds.

C'est exactement ce qui se passait dans le monde de la sécurité des robots. Chaque chercheur utilisait ses propres images, ses propres mesures de réussite et ses propres façons de "tricher". Impossible de dire qui était vraiment le plus fort ou le plus dangereux.

La solution proposée : Les auteurs ont créé un terrain de jeu unique et équitable.

• Tout le monde utilise les mêmes images (le même "ring").
• Tout le monde utilise les mêmes règles pour mesurer la victoire.
• Ils ont même inventé de nouveaux outils de mesure pour distinguer deux types d'erreurs :
  • L'erreur de localisation : Le robot voit l'objet mais ne sait pas où il est (comme si vous voyiez un chat mais ne saviez pas s'il est sur le canapé ou sous la table).
  • L'erreur de classification : Le robot voit l'objet mais croit que c'est un chien alors que c'est un chat.

2. La Révolution des Nouveaux Robots (Le Transformer)

Les chercheurs ont testé leurs attaques sur deux types de robots :

• Les anciens (CNN) : Comme des détectives qui regardent une photo pixel par pixel, très rapides mais un peu rigides.
• Les nouveaux (Transformers) : Comme des détectives qui regardent l'image entière d'un coup, en comprenant le contexte global. C'est la nouvelle génération (comme DINO).

La grande découverte : Les trucs qui fonctionnaient parfaitement pour aveugler les vieux robots échouaient lamentablement contre les nouveaux.
C'est comme si vous utilisiez un vieux code secret pour ouvrir une porte, mais que la nouvelle porte avait un système de sécurité biométrique que votre code ne pouvait pas comprendre. Les attaques actuelles sont "aveugles" face à cette nouvelle technologie.

3. L'Entraînement de la Milice (La Défense)

Comment protéger nos robots ? La méthode la plus efficace est l'entraînement adversaire.
Imaginez que vous entraînez un garde du corps.

• Méthode A : Vous lui montrez juste des photos normales.
• Méthode B : Vous le faites s'entraîner avec des tricheurs qui essaient de le tromper.

Les chercheurs ont testé plusieurs stratégies d'entraînement :

• Entraîner avec un seul type de tricheur : Si vous n'entraînez votre garde qu'à repérer les faux billets de 10 euros, il sera très fort contre ça, mais il se fera avoir par un faux billet de 50 euros.
• Entraîner avec un mélange de tricheurs : C'est la clé ! Ils ont découvert que le meilleur entraînement consiste à mélanger des tricheurs très différents :
  • Ceux qui essaient de faire disparaître les objets (comme un magicien).
  • Ceux qui essaient de changer l'identité des objets (comme un maquilleur).
  • Ceux qui essaient de créer des objets qui n'existent pas (comme un illusionniste).

Le résultat : Un robot entraîné avec ce "mélange hétéroclite" devient un véritable expert. Il ne se fait plus avoir, peu importe la technique utilisée par l'attaquant.

4. Le Coût de la Triche (La Perceptibilité)

Une autre découverte importante concerne la "discretion" de l'attaque.
Pour tromper un robot, il faut modifier l'image. Mais si la modification est trop visible pour un humain, l'attaque est inutile (on la repère tout de suite).

Les chercheurs ont montré que les anciennes façons de mesurer la "discretion" (comme compter les pixels changés) étaient trompeuses. C'est comme juger la beauté d'un tableau en comptant le nombre de coups de pinceau, sans regarder le résultat final.
Ils ont utilisé une nouvelle mesure basée sur ce que l'œil humain voit vraiment. Résultat : certaines attaques qui semblaient invisibles étaient en fait très visibles pour nous, mais pas pour le robot.

🎯 En Résumé

Ce papier est une boussole pour le futur de la sécurité des robots :

1. Arrêtons de comparer des pommes et des oranges : Il faut des règles communes pour tester la sécurité.
2. Les vieux trucs ne marchent plus : Les nouvelles architectures de robots (Transformers) sont beaucoup plus résistantes, mais il faut inventer de nouvelles attaques pour les tester.
3. La diversité est la clé de la défense : Pour rendre un robot invulnérable, il faut l'entraîner avec une grande variété d'attaques différentes, pas juste une seule.

C'est un appel à la collaboration pour construire des systèmes autonomes (voitures, robots) qui ne pourront pas être facilement trompés par des malveillants.

Résumé technique

1. Problématique

Les modèles de détection d'objets sont des composants critiques pour les systèmes autonomes (véhicules, robots), mais leur vulnérabilité aux attaques adverses constitue une menace de sécurité majeure. Contrairement à la classification d'images, où la robustesse est bien étudiée, le domaine de la détection d'objets souffre d'un retard significatif dû à deux facteurs principaux :

1. Complexité de la tâche : Une attaque peut échouer de multiples manières (déviation de la localisation, changement de classe, disparition ou fabrication d'objets), rendant l'évaluation plus complexe qu'un simple binaire (succès/échec).
2. Absence de standardisation : Les travaux existants utilisent des jeux de données hétérogènes, des métriques de performance disparates (mAP, taux de succès, etc.) et des contraintes de perturbation incohérentes (normes $L_p$, budgets $\epsilon$ définis différemment). Cette fragmentation rend impossible toute comparaison équitable entre les méthodes d'attaque et de défense.

2. Méthodologie

Pour combler ce vide, les auteurs proposent une approche structurée en trois étapes :

A. Analyse du paysage et Taxonomie

Les auteurs ont réalisé une revue systématique des attaques et des défenses existantes. Ils ont catégorisé les attaques selon leur environnement (numérique/physique), leur localité (image entière/patch), la connaissance de l'attaquant (boîte blanche/noire/grise) et leur objectif (déviation de classe, disparition, fabrication). Cette analyse a mis en évidence l'absence de benchmark commun.

B. Proposition d'un Benchmark Unifié

Les auteurs ont conçu un cadre d'évaluation unifié pour les attaques numériques non basées sur des patches (imperceptibles). Ce cadre standardise :

• Les modèles : Une sélection de détecteurs représentatifs incluant des architectures CNN (YOLOv3, Faster R-CNN, FCOS) et des Transformers (DETR, DINO, Mask R-CNN).
• Les données : Entraînement sur COCO et test sur VOC2007.
• Les métriques d'évaluation :
  • Décomposition des erreurs : Introduction de $AP_{loc}$ (précision moyenne pour la localisation, toutes classes fusionnées) et du $CSR$ (Classification Success Ratio, taux de réussite de la classification indépendamment de la localisation) pour distinguer les erreurs de localisation des erreurs de classification.
  • Mesure de la perceptibilité : Utilisation de métriques perceptuelles (LPIPS - Learned Perceptual Image Patch Similarity) et de distances $L_2$, plutôt que de la norme $L_\infty$ seule, jugée peu corrélée à la perception humaine.
• Les attaques sélectionnées : OSFD (sortie aléatoire), EBAD (déviation de classe), CAA (attaques contextuelles) et PhantomSponges (fabrication d'objets).

C. Évaluation de l'Entraînement Adverse

Une série d'expériences a été menée pour déterminer la stratégie d'entraînement adverse optimale. Les auteurs ont testé :

• L'entraînement sur des attaques uniques.
• L'entraînement sur des mélanges d'attaques (combinaison de différents objectifs et niveaux de perturbation).
• L'impact du ratio d'images adverses dans le jeu de données d'entraînement (100% vs mélangé avec des images propres).

3. Contributions Clés

1. Cadre de Benchmark Unifié : Première plateforme permettant une comparaison directe et équitable des attaques adverses sur la détection d'objets, avec des métriques normalisées.
2. Nouvelles Métriques : Introduction de $AP_{loc}$ et $CSR$ pour isoler les types d'échecs, et validation de l'usage du LPIPS comme métrique de référence pour la perceptibilité.
3. Analyse de la Transférabilité : Mise en évidence d'un fossé de robustesse critique entre les architectures CNN et les Transformers (Vision Transformers).
4. Stratégie de Défense Optimale : Identification de la meilleure stratégie d'entraînement adverse pour maximiser la robustesse.

4. Résultats Principaux

Sur les Attaques

• Manque de transférabilité vers les Transformers : Les attaques modernes (OSFD, EBAD, CAA) sont très efficaces sur les architectures CNN (chutes de mAP > 80% sur YOLOv3/Faster R-CNN), mais échouent presque totalement à transférer leurs perturbations sur les architectures basées sur des Transformers modernes comme DINO (chute de mAP < 5% pour la plupart des attaques, ~27% pour OSFD). Cela révèle une vulnérabilité spécifique des CNN et une robustesse inhérente des Transformers actuels.
• Perceptibilité vs $L_\infty$ : La norme $L_\infty$ est un mauvais indicateur de la visibilité humaine. L'attaque OSFD, bien que ayant une norme $L_\infty$ faible, présente un score LPIPS élevé (très visible), tandis que d'autres attaques avec un $L_\infty$ élevé peuvent être moins visibles selon le LPIPS. Le LPIPS est confirmé comme la métrique la plus fiable.
• Efficacité de l'OSFD : L'attaque OSFD (Object-Aware Significant Feature Distortion) s'avère être l'attaque la plus transférable et la plus efficace globalement, bien qu'elle soit coûteuse en temps de calcul (~44s par image).

Sur la Défense (Entraînement Adverse)

• 100% d'images adverses : L'entraînement sur un jeu de données composé à 100% d'images perturbées offre une robustesse supérieure à l'ajout d'images propres (benignes). Le léger sacrifice de la précision sur les images propres (environ 2-3 points de mAP) est largement compensé par le gain massif de robustesse.
• Mélange d'attaques complémentaires : La stratégie de défense la plus robuste consiste à entraîner le modèle sur un mélange d'attaques à forte perturbation ayant des objectifs complémentaires.
  • Combiner une attaque de type "sortie aléatoire" (OSFD, affectant la localisation et la classification) avec une attaque de "déviation de classe" (EBAD) permet de couvrir les faiblesses de chaque méthode individuelle.
  • Cette approche hybride surpasse l'entraînement sur n'importe quelle attaque seule, créant un détecteur capable de résister à une variété plus large de menaces.

5. Signification et Perspectives

Ce travail établit un nouveau standard pour l'évaluation de la sécurité des systèmes de vision par ordinateur. Il démontre que :

• La recherche doit se concentrer sur la création d'attaques capables de cibler les architectures Transformer, qui constituent actuellement une forteresse inexploitée.
• La défense ne doit pas se limiter à une seule stratégie d'attaque, mais doit adopter une approche diversifiée (mélange d'objectifs) pour être efficace.
• L'utilisation de métriques perceptuelles (LPIPS) est indispensable pour évaluer correctement le compromis entre l'efficacité de l'attaque et son imperceptibilité.

En conclusion, l'article fournit une base solide pour les futures recherches en robustesse, en identifiant clairement les lacunes actuelles (transférabilité vers les Transformers) et en proposant des meilleures pratiques pour l'entraînement de modèles robustes.