NatADiff: Adversarial Boundary Guidance for Natural Adversarial Diffusion

Il paper propone NatADiff, un metodo basato sulla diffusione denoising che genera campioni avversariali naturali guidando il processo verso l'intersezione tra le classi vera e avversaria, ottenendo così un'alta trasferibilità e una maggiore fedeltà agli errori di test reali rispetto alle tecniche esistenti.

L'essenziale

Immagina di avere un sistema di sicurezza molto intelligente, come un guardiano che controlla chi entra in un edificio. Questo guardiano è un'intelligenza artificiale (AI) addestrata a riconoscere le persone: se vede un volto, sa dire chi è.

Tuttavia, gli hacker hanno scoperto un trucco: possono creare "falsi" così sottili che il guardiano si confonde e sbaglia. Finora, questi falsi erano come maschere quasi invisibili: l'immagine era quasi identica alla realtà, ma con piccoli disturbi (pixel spostati) che solo un computer poteva vedere, ma che ingannavano l'AI.

Il nuovo studio che hai condiviso, chiamato NatADiff, cambia completamente le regole del gioco. Invece di aggiungere piccole maschere, NatADiff crea immagini completamente nuove che sembrano naturali, ma che ingannano l'AI.

Ecco come funziona, spiegato con delle metafore semplici:

1. Il Problema: L'AI prende "scorciatoie"

Immagina che l'AI, per riconoscere un "cane", non guardi davvero il cane, ma si fidi di una scorciatoia: "Se c'è dell'erba verde e un'ombra, è un cane".
Se metti un cane su una spiaggia di sabbia bianca, l'AI potrebbe confondersi perché manca l'erba. Oppure, se vedi un'immagine di un "gatto" che ha un po' di "cane" nel modo in cui è illuminato, l'AI potrebbe pensare: "Ah, è un cane!".
Le vecchie tecniche cercavano di aggiungere rumore per confondere l'AI. NatADiff fa qualcosa di più intelligente: crea un'immagine che è un ibrido perfetto tra la verità e l'errore.

2. La Soluzione: La "Guida al Confine" (Adversarial Boundary Guidance)

Immagina due isole:

• Isola A: Dove vivono le immagini vere (es. un "Goldfish", un pesce rosso).
• Isola B: Dove vivono le immagini che l'AI scambia per qualcos'altro (es. una "Scimmia").

Tra queste due isole c'è un ponte o una zona di confine. È lì che le cose si confondono.
La maggior parte dei metodi precedenti cerca di spingere l'immagine dall'Isola A verso l'Isola B con una forza brutale (come un martello). Questo spesso rovina l'immagine, rendendola strana o sgranata.

NatADiff è come un navigatore esperto che usa un'auto speciale (chiamata Diffusion Model, che è come un artista che dipinge partendo dal caos).

• Invece di spingere l'immagine, NatADiff dice all'artista: "Disegnami qualcosa che sia esattamente a metà strada tra il pesce e la scimmia".
• L'artista crea un'immagine che sembra un pesce (per un umano), ma che ha così tante caratteristiche di "scimmia" nascoste che l'AI, guardando le sue scorciatoie, pensa: "Questa è una scimmia!".

3. Perché è speciale?

• È naturale: Non sembra un'immagine corrotta o piena di rumore. Sembra una foto vera scattata nel mondo reale. È come se l'AI avesse un "buco nella memoria" e vedesse cose che non ci sono, proprio come succede agli umani quando siamo stanchi.
• È un "virus" universale: Se crei un'immagine che inganna un tipo di AI (ad esempio, quella usata da Google), questa stessa immagine ingannerà quasi sicuramente anche un'altra AI (quella usata da Facebook o da un'auto a guida autonoma). È come se avessi trovato un errore nel "cervello" di tutte le macchine, non solo in una.
• È più forte delle difese: Le vecchie difese provavano a "pulire" l'immagine rimuovendo il rumore. Ma NatADiff non ha rumore da rimuovere! È un'immagine pulita, quindi le difese tradizionali non funzionano.

In sintesi

Immagina di voler ingannare un sistema di riconoscimento facciale.

• Metodo vecchio: Metti un adesivo minuscolo sulla tua fronte. L'AI ti vede, ma l'adesivo la confonde.
• Metodo NatADiff: L'AI non vede un adesivo. L'AI vede te, ma in un modo così particolare (magari con una luce strana o un'espressione che ricorda qualcun altro) che il sistema pensa: "Sì, sei tu, ma sei anche qualcun altro".

Gli autori di questo studio hanno dimostrato che creando queste immagini "ibride" e naturali, possono ingannare le AI molto meglio di prima, rendendo evidente che le macchine stanno ancora imparando a guardare il mondo in modo sbagliato, affidandosi a indizi fuorvianti invece che alla vera comprensione. È un passo avanti per capire come rendere le AI più sicure e meno facili da ingannare.

Sommario tecnico

1. Il Problema: Campi Avversariali Naturali e Limiti delle Attacchi Convenzionali

Le reti neurali profonde sono vulnerabili agli esempi avversariali, che sfruttano irregolarità nel manifold appreso dai modelli per causare errori di classificazione. La letteratura esistente si concentra principalmente su:

• Attacchi vincolati (Constrained): Aggiungono perturbazioni impercettibili a livello di pixel (es. PGD, AutoAttack). Questi non riflettono accuratamente gli errori che si verificano nel mondo reale durante il test.
• Campioni avversariali naturali (Natural Adversarial Samples): Sono immagini naturali (senza perturbazioni artificiali) che vengono erroneamente classificate dai modelli (spesso chiamate "errori di tempo di test"). Questi rappresentano la forma più forte di attacco non vincolato.

Il problema centrale è che molti metodi di difesa falliscono contro i campioni naturali perché non contengono perturbazioni da rimuovere. Inoltre, i campioni naturali mostrano un'alta trasferibilità (un'immagine inganna più classificatori diversi) perché i modelli tendono a imparare "cues" contestuali errati per scorciatoie nella classificazione, invece di apprendere vere distinzioni tra classi.

Esistono metodi precedenti per generare campioni naturali usando GAN o modelli di diffusione, ma spesso degradano la qualità dell'immagine o producono campioni che sono essenzialmente perturbazioni vincolate mascherate, non riuscendo a catturare la vera natura degli errori di test-time.

2. Metodologia: NatADiff

Gli autori propongono NatADiff, uno schema di campionamento avversariale basato sui modelli di diffusione denoising (Denoising Diffusion Probabilistic Models - DDPM). L'idea fondamentale è guidare il processo di generazione verso l'intersezione tra la classe reale e la classe avversaria, sfruttando i "cues" contestuali errati che i modelli sfruttano.

Le componenti chiave della metodologia sono:

A. Guida al Confine Avversariale (Adversarial Boundary Guidance)

Invece di spingere semplicemente l'immagine verso la classe avversaria (come fa la guida classica del classificatore), NatADiff guida il percorso di diffusione verso l'intersezione delle due classi.

• Concetto: I campioni naturali spesso contengono elementi strutturali della classe avversaria (es. un'immagine di un "pesce" che contiene elementi che un modello confonde con una "scimmia").
• Implementazione: La funzione di score viene modificata per includere un termine che spinge verso l'intersezione $y \cap \tilde{y}$. La formula aggiornata per il gradiente di score è:
  $$\nabla_{x_t} \log(\bar{p}(x_t|y, \tilde{y})) = -\frac{1}{\beta(t)} \left[ \epsilon_\theta(x_t, t) + (\omega - \mu\omega)v_y + \mu\rho v_{y \cap \tilde{y}} \right] + s \nabla_{x_t} \log(p(\tilde{y}|x_t))$$
  Dove $\mu$ regola quanto fortemente il campione tende verso l'intersezione delle classi.

B. Guida del Classificatore Augmentata

Per evitare che il modello generi campioni vincolati (piccole perturbazioni) e per incoraggiare l'emergere di caratteristiche semantiche significative della classe avversaria:

• Si applicano trasformazioni differenziabili (rotazioni, crop, traslazioni) all'immagine stimata $\hat{x}_0$ prima di calcolare il gradiente del classificatore.
• Questo "media" il segnale avversariale locale, riducendo la probabilità di generare semplici perturbazioni e forzando la manifestazione di feature semantiche della classe avversaria.

C. Campionamento "Time-Travel"

Per mantenere la qualità dell'immagine e prevenire che il percorso di diffusione esca dal manifold delle immagini naturali (un rischio quando si applicano guide forti):

• Si utilizza una tecnica di "time-travel" che permette al modello di esplorare regioni più ampie dello spazio dei campioni e recuperare da traiettorie subottimali, resettando lo stato di diffusione in certi punti temporali e riprocedendo.

D. Targeting di Similarità (Similarity Targeting)

Per gli attacchi non mirati (untargeted), invece di scegliere una classe avversaria casuale, il metodo seleziona la classe avversaria più semanticamente simile alla classe reale utilizzando l'encoder testuale di CLIP. Questo facilita la generazione di campioni che fondono caratteristiche in modo credibile.

3. Contributi Chiave

1. Proposta di NatADiff: Un nuovo metodo di generazione di campioni avversariali naturali che combina guida del classificatore, normalizzazione del gradiente, e campionamento time-travel.
2. Algoritmo di Guida al Confine: Un approccio innovativo per navigare il manifold complesso appreso dal modello, dirigendo la generazione verso l'intersezione delle classi per produrre campioni che sembrano naturali ma sono errati.
3. Analisi delle Rappresentazioni: Un'indagine su come i classificatori basati su CNN e Transformer percepiscono questi campioni, rivelando proprietà interessanti delle feature apprese.

4. Risultati Sperimentali

Gli esperimenti sono stati condotti su ImageNet utilizzando vari modelli surrogate (ResNet-50, Inception-v3, ViT-H) e modelli vittima (inclusi modelli addestrati adversarialmente).

• Successo dell'Attacco (ASR - Attack Success Rate): NatADiff ottiene tassi di successo in modalità "white-box" (stesso modello surrogate e vittima) comparabili alle tecniche state-of-the-art (es. PGD, AutoAttack, AdvDiff).
• Trasferibilità: Il risultato più significativo è la trasferibilità superiore. I campioni generati da NatADiff ingannano modelli con architetture diverse (es. da ResNet a ViT) e modelli addestrati adversarialmente molto meglio di qualsiasi altro metodo esistente. Questo conferma che NatADiff sfrutta le vulnerabilità intrinseche dei modelli (cues contestuali) piuttosto che perturbazioni specifiche dell'architettura.
• Qualità dell'Immagine e Allineamento Naturale:
  • Misurata tramite FID (Fréchet Inception Distance) rispetto a ImageNet-A (un dataset di errori naturali).
  • I campioni NatADiff hanno un FID verso ImageNet-A significativamente migliore rispetto alla sola guida del classificatore avversariale, indicando che assomigliano più fedelmente agli errori di test-time reali.
  • La qualità visiva (IS e FID-Val) rimane competitiva, sebbene leggermente inferiore rispetto ad attacchi vincolati che non devono generare nuove strutture semantiche.
• Robustezza alle Difese: I campioni NatADiff sono resistenti alle difese basate su trasformazioni di immagine e purificazione tramite diffusione (DiffPure), a differenza degli attacchi basati su perturbazioni che vengono facilmente neutralizzati.

5. Significato e Implicazioni

Il lavoro di NatADiff dimostra che è possibile generare campioni avversariali che non sono semplici "rumore" aggiunto alle immagini, ma immagini completamente nuove che risiedono in zone critiche del manifold delle immagini naturali.

• Comprensione dei Modelli: Il successo di NatADiff conferma l'ipotesi che i modelli di deep learning falliscano spesso a causa della dipendenza da "cues" contestuali errati (shortcut learning) piuttosto che da una comprensione profonda delle classi.
• Sicurezza: Poiché questi campioni sono più simili agli errori naturali che si verificano nel mondo reale, rappresentano una minaccia più realistica e difficile da difendere rispetto agli attacchi perturbativi tradizionali.
• Futuro: Il metodo offre un nuovo strumento per testare la robustezza dei modelli e potrebbe ispirare nuove strategie di difesa che mirano a ridurre la dipendenza dai cues contestuali errati, piuttosto che a filtrare il rumore.

In sintesi, NatADiff sposta il paradigma dalla generazione di "perturbazioni" alla generazione di "errori naturali", offrendo una visione più profonda e realistica delle vulnerabilità dei sistemi di visione artificiale.