Latent Transfer Attack: Adversarial Examples via Generative Latent Spaces

Il paper propone LTA, un attacco avversario di trasferimento che ottimizza le perturbazioni nello spazio latente di un modello generativo preaddestrato per produrre esempi robusti e coerenti che superano i limiti dei metodi tradizionali basati sullo spazio dei pixel.

L'essenziale

Immagina di voler ingannare un sistema di sicurezza molto intelligente, come un guardiano che controlla chi entra in un edificio. Questo guardiano è un'intelligenza artificiale (una "rete neurale") che riconosce le persone guardando le loro foto.

Il problema è che questi guardiani sono molto bravi a vedere i dettagli, ma a volte sono un po' ingenui: se cambi anche solo un piccolo pixel (un puntino) della foto in modo casuale e caotico, l'IA potrebbe pensare che un cane sia un gatto.

Fino a oggi, gli hacker (o i ricercatori di sicurezza) creavano queste foto ingannevoli modificando direttamente i puntini della foto (i "pixel"). Era come prendere un pennello e spargere rumore statico sulla foto. Funzionava bene contro il guardiano specifico che stavano attaccando, ma se cambiavano guardiano (per esempio, da uno che usa una tecnologia "CNN" a uno che usa una tecnologia "Transformer"), l'inganno falliva. Inoltre, quel rumore sembrava molto strano agli occhi umani, come una foto piena di grana e distorsioni.

Ecco cosa propone questo nuovo metodo chiamato LTA (Latent Transfer Attack):

1. L'idea principale: Non toccare la foto, toccare il "sogno"

Invece di modificare i puntini della foto direttamente, gli autori dicono: "Andiamo a modificare il sogno della foto".

Immagina che ogni foto esista anche in una forma astratta, come un progetto architettonico o una ricetta. Questo progetto astratto è chiamato spazio latente.

• Il vecchio metodo: Prendi la torta finita e ci metti sopra della sabbia per farla sembrare diversa.
• Il nuovo metodo (LTA): Modifichi la ricetta (lo spazio latente) in modo che, quando la torta viene rifatta, abbia un sapore leggermente diverso che inganna il palato, ma sembri ancora una torta normale.

Gli autori usano un "cuoco" molto esperto (chiamato Stable Diffusion VAE) che sa trasformare queste ricette astratte in foto perfette. Modificano la ricetta astratta per ingannare l'IA, e poi lasciano che il cuoco trasformi la ricetta in una foto.

2. Perché funziona meglio? (L'analogia della musica)

Le vecchie foto ingannevoli erano come un rumore bianco: un frastuono caotico fatto di frequenze alte (come il cigolio di un gesso sulla lavagna). Le nuove IA (i Transformer) non si fanno ingannare da questi cigolii.

Il nuovo metodo crea invece un inganno basato su frequenze basse, come una melodia profonda e armoniosa.

• Analogia: Se vuoi far arrabbiare un cane, puoi urlare (rumore alto/frequenza alta), ma il cane potrebbe abituarsi. Se invece cambi il modo in cui cammini o il tuo odore (cambiamenti strutturali/frequenza bassa), il cane reagisce in modo diverso e più prevedibile.
• Poiché questa "melodia" è strutturata e naturale, funziona contro quasi tutti i tipi di guardiani (sia quelli vecchi che quelli nuovi) e sembra molto più realistica agli occhi umani.

3. Il problema della "traduzione" e la soluzione

C'è un piccolo ostacolo: il "cuoco" (Stable Diffusion) crea le ricette a una certa dimensione (es. 256x256), ma i guardiani (le IA target) guardano le foto a dimensioni diverse (es. 224x224) e spesso le ritagliano o le stirano prima di guardarle. Se modifichi la ricetta per una dimensione, potrebbe non funzionare quando il guardiano la ridimensiona.

La soluzione magica (EOT - Aspettativa sulle Trasformazioni):
Immagina di preparare un discorso per un pubblico. Invece di prepararlo per una sola sala, provi a dirlo mentre cammini, mentre ti muovi, mentre qualcuno ti interrompe, e ti assicuri che il messaggio resti chiaro in tutte queste situazioni.
Gli autori fanno la stessa cosa: mentre creano l'inganno, simulano continuamente di ridimensionare, tagliare e ruotare la foto. In questo modo, l'inganno diventa robusto: funziona anche se il guardiano applica filtri o cambia le dimensioni dell'immagine.

4. Il risultato: Un inganno invisibile e potente

Grazie a questo metodo:

• È più forte: Inganna molto più spesso i guardiani, specialmente quelli nuovi e avanzati (fino al 34% in più rispetto ai metodi precedenti).
• È più bello: Le foto ingannevoli non sembrano più piene di "grana" o rumore. Sembrano foto normali, perché le modifiche sono strutturali e coerenti con l'immagine (come cambiare leggermente l'espressione di un viso invece di aggiungere punti colorati).
• È più difficile da difendersi: Poiché l'inganno è fatto di "melodie basse" e naturali, i sistemi di difesa che cercano di rimuovere il "rumore" (come i filtri anti-disturbo) non riescono a toglierlo senza rovinare anche la foto originale.

In sintesi

Gli autori hanno scoperto che invece di sporcare la foto (metodo vecchio), è meglio riscrivere la sua "essenza" nascosta (metodo nuovo). Usando un generatore di immagini esperto come guida, creano inganni che sono:

1. Universali: Funzionano contro quasi tutte le IA.
2. Naturali: Sembra che non siano stati manomessi.
3. Resistenti: Sopravvivono anche se l'IA le modifica o le pulisce prima di guardarle.

È come se invece di dipingere un muro con vernice invisibile che si vede solo sotto una luce specifica, avessi imparato a cambiare la struttura del muro stesso in modo che, anche se lo dipingi di bianco, sembri sempre un muro diverso per chi lo guarda.

Sommario tecnico

1. Il Problema

Gli attacchi avversariali sono strumenti fondamentali per valutare la robustezza dei modelli di visione artificiale. Tuttavia, la maggior parte dei metodi esistenti ottimizza le perturbazioni direttamente nello spazio dei pixel, sotto vincoli di norma $\ell_\infty$ o $\ell_2$. Sebbene efficaci in contesti "white-box" (dove l'attaccante conosce il modello target), questi approcci presentano limiti significativi:

• Fragilità e Rumore ad Alta Frequenza: Le perturbazioni nello spazio dei pixel tendono a sfruttare caratteristiche non robuste e ad alta frequenza, apparendo come rumore testurizzato.
• Scarsa Trasferibilità: Queste perturbazioni sono spesso specifiche dell'architettura (ad esempio, funzionano bene su CNN ma falliscono su Vision Transformers) e sono estremamente fragili rispetto a pre-elaborazioni comuni come ridimensionamento, ritaglio o interpolazione.
• Bottleneck per gli Attacchi Black-Box: La scarsa capacità di trasferirsi tra modelli diversi rende difficile generare esempi avversariali efficaci contro modelli sconosciuti.

Il paper sostiene che lo spazio dei pixel potrebbe non essere il dominio ottimale per costruire perturbazioni che siano contemporaneamente efficaci, trasferibili e visivamente coerenti.

2. Metodologia: LTA (Latent Transfer Attack)

Gli autori propongono LTA, un attacco basato sul trasferimento che sposta l'ottimizzazione delle perturbazioni dallo spazio dei pixel allo spazio latente di un Variational Autoencoder (VAE) pre-addestrato, specificamente quello di Stable Diffusion.

Concetti Chiave e Componenti:

1. Ottimizzazione nello Spazio Latente:

   • Invece di modificare i pixel direttamente, l'immagine pulita $x$ viene codificata in un codice latente $z_0 = \text{Enc}(x)$.
   • L'attacco ottimizza la variabile latente $z$ per massimizzare la perdita di classificazione di un modello surrogato.
   • L'immagine avversaria è ottenuta decodificando: $x_{adv} = \text{Dec}(z)$.
   • Il decoder del VAE funge da prior implicito: piccole perturbazioni nello spazio latente si traducono in variazioni spaziali lisce e a bassa frequenza nello spazio dei pixel, allineandosi alla varietà (manifold) delle immagini naturali.

2. Expectation Over Transformations (EOT):

   • Per affrontare il disallineamento tra la risoluzione fissa del decoder del VAE (es. 256x256) e le pipeline di input dei classificatori target (es. 224x224) e la loro sensibilità al pre-processing, LTA utilizza EOT.
   • Durante l'ottimizzazione, vengono campionate casualmente trasformazioni (ridimensionamento, interpolazione, ritaglio) e la perdita viene calcolata come media su queste trasformazioni. Questo rende la perturbazione robusta a diverse pipeline di input.

3. Smoothing Periodico nel Latente:

   • L'ottimizzazione iterativa può accumulare artefatti localizzati ad alta frequenza nello spazio latente.
   • Viene introdotta una regolarizzazione leggera: ogni $N$ passi, la perturbazione latente $\Delta z$ viene convoluta con un kernel Gaussiano per sopprimere le componenti ad alta frequenza emergenti, preservando la struttura globale.

4. Funzione Obiettivo:

   • L'obiettivo massimizza la perdita di classificazione (cross-entropy) sotto trasformazioni casuali, applicando una penalità soft nello spazio dei pixel dopo la decodifica per rispettare il budget $\ell_\infty$ ($\epsilon$). La penalità soft è necessaria perché il mapping latente-pixel è non lineare e il clipping diretto nello spazio latente non ha una corrispondenza principiale con i vincoli sui pixel.

3. Contributi Principali

• Nuovo Framework (LTA): Un metodo semplice ed efficace che esegue l'ottimizzazione avversariale nello spazio latente di un VAE generativo pre-addestrato, sfruttando il decoder come prior a bassa frequenza per migliorare il trasferimento cross-architettura.
• Analisi nel Dominio della Frequenza: Dimostrazione teorica ed empirica che l'ottimizzazione nello spazio latente biasizza naturalmente le perturbazioni verso componenti a bassa frequenza. Questa proprietà spettrale è collegata direttamente ai guadagni osservati nella trasferibilità tra modelli diversi e contro difese.
• Risultati State-of-the-Art: LTA raggiunge la massima trasferibilità su una suite diversificata di target (CNN e ViT), con miglioramenti particolarmente significativi nel trasferimento da CNN a Vision Transformer (+13.7 punti medi) e contro difese basate sulla purificazione (fino a +34.3 punti).

4. Risultati Sperimentali

Gli esperimenti sono stati condotti su ImageNet con diversi modelli surrogati (ResNet-50, ResNet-152, VGG-16) e target (inclusi ViT-B/16, Swin-T, ecc.).

• Trasferibilità Cross-Architettura:
  • LTA supera tutti i baselines (inclusi P2FA, BFA, DiffAttack) in termini di Tasso di Successo dell'Attacco (ASR).
  • Con VGG-16 come surrogato, LTA raggiunge un ASR medio del 98.4%.
  • Il miglioramento è più marcato contro i target Vision Transformer (ViT), dove LTA supera i baselines di oltre 20 punti percentuali in alcuni casi (es. +21.8 su ViT-B/16 con surrogato RN50).
• Robustezza alle Difese:
  • LTA è estremamente efficace contro pipeline di difesa come AT (Adversarial Training), HGD, NRP, RS e DiffPure.
  • Contro le difese basate sulla purificazione (che tentano di rimuovere il rumore ad alta frequenza), LTA ottiene guadagni massicci (fino a +34.3 punti) perché le sue perturbazioni sono a bassa frequenza e strutturalmente allineate al contenuto dell'immagine, rendendole difficili da separare dal segnale pulito.
• Qualità Visiva e Studio Utenti:
  • Le perturbazioni di LTA sono spazialmente coerenti e allineate alla struttura semantica (es. concentrano l'energia sull'oggetto), a differenza del rumore diffuso tipico degli attacchi pixel-based.
  • Uno studio utente su 8 partecipanti mostra che LTA ha un tasso di "inganno" (fooling rate) del 19.0%, paragonabile ai baselines pixel-based, ma con un ASR molto superiore.
• Analisi Spettrale:
  • L'analisi della trasformata di Fourier (FFT) conferma che LTA concentra l'energia delle perturbazioni nelle basse frequenze (vicino al DC), mentre i baselines pixel-based mostrano una distribuzione energetica più ampia verso le alte frequenze.

5. Significato e Implicazioni

Questo lavoro evidenzia che gli spazi latenti dei modelli generativi pre-addestrati (come Stable Diffusion) costituiscono un dominio strutturato ed efficace per l'ottimizzazione avversariale.

• Superamento dei Limiti dei Pixel: Spostare l'ottimizzazione nello spazio latente risolve il compromesso tra forza dell'attacco e coerenza visiva, producendo perturbazioni che sono intrinsecamente più robuste alle trasformazioni geometriche e alle differenze architetturali.
• Ponte tra Robustezza e Generazione: Il metodo unisce l'ottimizzazione avversariale con i prior generativi appresi, suggerendo che le perturbazioni che rispettano la varietà delle immagini naturali sono più pericolose per i modelli moderni (inclusi i Transformer).
• Limitazioni: L'approccio dipende dal prior del VAE; le perturbazioni ottimali che richiedono modifiche ad alta frequenza e fine-granularità potrebbero essere escluse se non rappresentabili dal decoder. Inoltre, c'è un costo computazionale aggiuntivo dovuto alla decodifica ripetuta e all'EOT.

In conclusione, LTA dimostra che l'ottimizzazione avversariale guidata da prior generativi può raggiungere livelli di trasferibilità superiori rispetto ai metodi tradizionali, offrendo nuove direzioni per lo studio della robustezza dei modelli di visione.