OmniPatch: A Universal Adversarial Patch for ViT-CNN Cross-Architecture Transfer in Semantic Segmentation

Il paper presenta OmniPatch, un framework di addestramento che genera una patch avversariale universale capace di trasferire efficacemente gli attacchi tra architetture ViT e CNN per la segmentazione semantica, senza richiedere l'accesso ai parametri del modello target.

L'essenziale

🚗 Il Problema: L'Inganno del Segnale Stradale

Immagina che le auto a guida autonoma siano come automobilisti molto intelligenti ma un po' ingenui. Per guidare, usano "occhi digitali" (le reti neurali) che guardano la strada e dicono: "Quello è un semaforo", "Quello è un pedone", "Quella è una striscia bianca".

Finora, gli scienziati hanno scoperto che questi "occhi digitali" possono essere ingannati. Se metti un adesivo strano su un semaforo, l'auto potrebbe pensare che sia un cartello di "Stop" o peggio, non vederlo affatto. Questo è pericoloso!

Il problema con i vecchi metodi di attacco era che erano come dipingere l'intera strada di un colore strano: funzionava in teoria, ma nella vita reale è impossibile (nessuno può dipingere tutta l'autostrada!). Inoltre, se l'attacco era fatto per un tipo specifico di "occhio" (un modello), non funzionava su un altro tipo di auto.

💡 La Soluzione: OmniPatch (Il "Trucco Universale")

Gli autori di questo studio hanno creato OmniPatch. Immaginalo come un adesivo magico e universale che puoi attaccare su un muro o su un palo della luce, e che funziona su qualsiasi tipo di auto a guida autonoma, indipendentemente da come è costruita la sua intelligenza.

Ecco come funziona, passo dopo passo, con delle metafore:

1. Trovare il "Punto Debole" (Posizionamento Sensibile)

Immagina di voler far cadere un castello di carte. Non devi colpire il pavimento, devi colpire la carta più traballante.

• Cosa fa OmniPatch: Prima di attaccare l'adesivo, il sistema "osserva" l'immagine con un modello speciale (chiamato ViT, che è molto sensibile) e cerca le zone dove l'auto è più confusa o incerta.
• L'analogia: È come un ladro che guarda una cassaforte e cerca il punto dove il lucchetto è più arrugginito. Invece di attaccare l'adesivo a caso al centro dell'immagine, lo mette esattamente dove l'auto è più propensa a sbagliare (ad esempio, su un palo o un segnale).

2. L'Allenamento a Due Fasi (Il "Tirocinio")

Per creare questo adesivo universale, gli scienziati hanno fatto fare un "tirocinio" speciale al loro sistema di attacco.

• Fase 1: Imparare a ingannare il "Genio" (ViT).
  Prima, insegnano all'adesivo a ingannare un modello molto potente e sensibile (il ViT). È come addestrare un truccatore su un pubblico molto attento. Se riesci a ingannare chi è molto attento, hai già vinto metà battaglia.
• Fase 2: Insegnare a tutti gli altri (CNN).
  Poi, prendono quell'adesivo e lo mostrano anche ad altri modelli (i CNN, che sono più "tradizionali" e guardano i dettagli locali).
  • Il trucco: Spesso, quando provi a ingannare due persone diverse allo stesso tempo, i loro cervelli vanno in confusione e si bloccano. OmniPatch usa una tecnica speciale (chiamata "allineamento dei gradienti") che fa sì che l'adesivo impari un messaggio che tutti i modelli capiscono allo stesso modo, evitando che si "litighino" durante l'apprendimento.

3. Il "Rumore" Invisibile (Regolarizzatori)

Per assicurarsi che l'adesivo non sembri un'opera d'arte astratta troppo strana (che un umano noterebbe subito), aggiungono delle regole extra:

• Distruzione dei bordi: Fa sì che i contorni degli oggetti (come il bordo di un marciapiede) sembrino frantumati o confusi.
• Cattura dell'attenzione: Costringe l'auto a guardare l'adesivo invece del vero oggetto.
• Controllo visivo: Assicura che l'adesivo non sembri un "disturbo" troppo evidente, rendendolo più realistico.

📊 I Risultati: Funziona Davvero?

Gli scienziati hanno testato questo adesivo su immagini di strade reali (il dataset Cityscapes).

• Senza adesivo: Le auto riconoscono tutto correttamente (circa 86-90% di precisione).
• Con un adesivo a caso: L'auto si confonde un po', ma non troppo.
• Con OmniPatch: L'auto va in crisi! La sua capacità di riconoscere la strada crolla drasticamente (fino a perdere il 16% di precisione).
  • Il punto chiave: Funziona su modelli diversi (PIDNet, BiSeNet, SegFormer). È come se avessi creato una "chiave universale" che apre tutte le serrature, non solo una.

🔮 Il Futuro e i Limiti

C'è però un "ma":

• Visibilità: Al momento, l'adesivo è ancora un po' troppo visibile per gli umani (sembra un quadrato strano). Gli autori dicono che il passo successivo sarà creare adesivi che si mimetizzano perfettamente con la texture della strada o dei muri (come un camuffamento militare).
• Meteo: Per ora funziona su immagini digitali. Il prossimo passo è testarlo nella realtà, sotto la pioggia o con la nebbia.

In Sintesi

OmniPatch è come un inganno universale per le auto a guida autonoma. Invece di dipingere tutta la strada, trova il punto debole specifico di ogni modello e ci attacca un "trucco" studiato per confondere qualsiasi tipo di intelligenza artificiale, rendendo evidente quanto siano ancora fragili i sistemi che guidano le nostre auto future.

È un avvertimento importante: prima di fidarci ciecamente delle auto che guidano da sole, dobbiamo assicurarci che non possano essere ingannate da un semplice adesivo!

Sommario tecnico

1. Il Problema

La segmentazione semantica è fondamentale per la guida autonoma, ma i modelli deployati rimangono vulnerabili agli attacchi avversariali, specialmente in scenari "black-box" dove i pesi del modello target sono sconosciuti.
Le limitazioni attuali includono:

• Perturbazioni su tutta l'immagine: La maggior parte dei metodi esistenti genera perturbazioni su tutta l'immagine, rendendole impraticabili per l'uso fisico (es. adesivi su strada).
• Scarsa trasferibilità: Gli attacchi basati su patch sono spesso ottimizzati per una singola architettura (es. solo CNN o solo ViT) e falliscono nel trasferirsi tra modelli diversi.
• Gap architetturale: Le CNN e i Vision Transformers (ViT) hanno bias induttivi diversi (locale vs globale). I ViT sono notoriamente più sensibili agli attacchi basati su patch a causa del loro meccanismo di attenzione globale, ma creare un patch universale che funzioni su entrambe le architetture è una sfida aperta.

2. Metodologia: OmniPatch

OmniPatch è un framework di addestramento progettato per generare un patch avversariale universale che generalizza sia tra immagini diverse che tra architetture CNN e ViT, senza richiedere l'accesso ai parametri del modello target.

Il metodo si articola in quattro componenti principali:

A. Posizionamento nella Regione Sensibile (Sensitive Region Placement)

Invece di posizionare il patch in modo casuale o al centro, OmniPatch sfrutta l'incertezza del modello per massimizzare l'impatto:

1. Identificazione della Classe: Utilizza un surrogato ViT per calcolare l'entropia predittiva classe per classe su immagini pulite, selezionando la classe $c^*$ con la massima incertezza.
2. Espansione Morfologica: Si espande la maschera predetta per la classe $c^*$ tramite dilatazione morfologica per definire una regione di posizionamento fattibile.
3. Campionamento Biasato dall'Entropia: Il patch viene posizionato in una regione ad alta incertezza (entro il top-p% dei pixel più incerti), sfruttando il divario tra l'attenzione globale dei ViT e l'estrazione di caratteristiche locali delle CNN.

B. Addestramento in Due Fasi (Two-Stage Training)

Il framework utilizza un approccio a due stadi con surrogati ViT e CNN:

• Fase 1 (Solo ViT): Si ottimizza il patch per destabilizzare il surrogato ViT, sfruttando la sua sensibilità. Viene utilizzata una funzione di perdita pesata ($\gamma$) che penalizza maggiormente i pixel classificati correttamente ma ad alta confidenza, forzando l'errore in regioni che il modello considera sicure.
• Fase 2 (Ensemble ViT + CNN): Si estende l'addestramento a un ensemble eterogeneo.
  • Si definisce un insieme di pixel ad "alta trasferibilità" ($X$) basato sulla divergenza di Jensen-Shannon (JS) tra le logits pulite e avversariali.
  • Si massimizza la trasferibilità pesando i pixel ad alta divergenza ($\beta$).
  • Allineamento dei Gradienti: Per evitare che gli aggiornamenti dei gradienti di modelli fondamentalmente diversi (ViT vs CNN) si distruggano a vicenda, viene introdotta una regolarizzazione che massimizza la similarità del coseno tra i gradienti dei due surrogati, omogeneizzando i vettori di aggiornamento.

C. Loss Ausiliari e Regularizzatori

Per migliorare l'efficacia e la stabilità, vengono aggiunti tre termini alla funzione obiettivo:

1. Hijacking dell'Attenzione: Forza il ViT a dare priorità al patch rispetto all'etichetta reale nelle sue rappresentazioni interne.
2. Disruzione dei Confini: Inverte la loss di confine per frammentare i bordi della segmentazione.
3. Variazione Totale (TV): Agisce come regolarizzatore per il controllo del rumore visivo.

D. Robustezza Fisica

Viene applicata l'Expectation over Transformation (EOT) a ogni passo, simulando scale, rotazioni e traslazioni casuali per garantire che il patch sia efficace in condizioni reali variabili.

3. Contributi Chiave

• Primo Patch Universale Cross-Architettura: OmniPatch è il primo approccio che dimostra una trasferibilità efficace di un patch avversariale tra architetture CNN e ViT nella segmentazione semantica.
• Strategia di Posizionamento Basata sull'Incertezza: Introduce uno schema innovativo che posiziona il patch dinamicamente nelle regioni di massima incertezza del modello surrogato, superando le strategie statiche (centro/casuale).
• Meccanismo di Allineamento dei Gradienti: Risolve il problema dell'interferenza distruttiva nell'addestramento di ensemble eterogenei, permettendo un apprendimento stabile che massimizza la trasferibilità.
• Framework Pratico: Offre una pipeline completa che colma il divario tra perturbazioni teoriche su tutta l'immagine e attacchi fisicamente deployabili.

4. Risultati Sperimentali

Gli esperimenti sono stati condotti sul dataset Cityscapes (scene urbane).

• Setup: Il patch è stato addestrato sulla classe "palo" (pole), la più sensibile. I modelli target includono diverse varianti di PIDNet (CNN), BiSeNet (CNN) e SegFormer (ViT).
• Performance:
  • OmniPatch ha causato un calo significativo dell'mIoU (mean Intersection over Union) su tutti i modelli target.
  • Su PIDNet-S, il mIoU è sceso da 0.8695 (immagine pulita) a 0.7299 (OmniPatch), con un calo del 16.05%.
  • Su BiSeNetV2, il mIoU è sceso da 0.6907 a 0.6036 (calo del 12.61%).
  • Su SegFormer (ViT), il mIoU è sceso da 0.7434 a 0.6777.
• Confronto con Baseline: OmniPatch supera significativamente i patch casuali e la baseline esistente (Shekhar et al., 2025), dimostrando una trasferibilità superiore.
• Ablation Study:
  • Il posizionamento nella "regione sensibile" ha migliorato le prestazioni rispetto al posizionamento casuale o al centro.
  • L'uso della Divergenza JS (invece di KL) ha migliorato la stabilità dell'addestramento, aumentando il calo dell'mIoU del 1.84%.
  • L'allineamento dei gradienti è risultato cruciale, migliorando l'efficacia dell'attacco su tutti i modelli rispetto all'addestramento senza tale vincolo.

5. Significato e Implicazioni

Questo lavoro è significativo per la sicurezza dei sistemi di guida autonoma perché:

1. Dimostra Vulnerabilità Reale: Conferma che i modelli di segmentazione, sia CNN che ViT, sono vulnerabili a perturbazioni fisiche universali, non solo a perturbazioni digitali specifiche.
2. Sfida l'Architettura-Specificità: Dimostra che le differenze architetturali non proteggono necessariamente da attacchi progettati per sfruttare le debolezze comuni (come l'attenzione globale nei ViT).
3. Indirizza la Ricerca Futura: Evidenzia la necessità di sviluppare difese robuste non solo contro attacchi specifici, ma contro minacce universali e fisicamente realistici. Gli autori notano che il patch attuale è visivamente evidente e propongono come lavoro futuro tecniche di blending testurale per renderlo più nascosto e testare scenari con condizioni meteorologiche variabili.

In sintesi, OmniPatch rappresenta un passo avanti critico nella comprensione delle vulnerabilità trasversali dei moderni sistemi di visione artificiale, fornendo un framework metodologico solido per valutare e migliorare la robustezza dei sistemi di sicurezza critica.