2023年计算机视觉与模式识别（Computer Vision and Pattern Recognition, CVPR’23）将于2023年6月18日-6月22日在加拿大温哥华召开。我院李明慧老师指导的学术论文“Detecting Backdoors During the Inference Stage Based on Corruption Robustness Consistency”被CVPR’23录用。CVPR是CCF推荐的A类国际学术会议，在计算机视觉领域享有很高的学术声誉。这次会议共收到来自9155篇投稿，录用2360篇，录用率约25.78%。

深度神经网络易受到后门攻击，受后门感染的模型在推理阶段可以对干净的输入正常输出，但对被后门触发器篡改的输入会输出错误的预测结果。该工作考虑到现有在推理阶段对后门样本进行检测的方法通常要求检测者具有对受害者模型的高度可访问性、额外干净的数据或对后门触发器外观的了解，从而实用性不高的问题，提出了一种新的后门样本检测方法TeCo，只需要受害者模型的硬标签输出，而无需任何额外信息。本项工作观察到受后门感染的模型对于不同图像损坏的干净图像都具有相似的性能，但是无论触发器类型如何，对于后门样本的性能都不同的现象，所以设计了鲁棒性一致性评估方案TeCo，通过计算导致预测在不同损坏之间转换的严重性的标准差来评估测试鲁棒性一致性。实验结果表明与最先进的推理阶段的防御相比，TeCo在不同的后门攻击、数据集和模型架构上表现优于它们，在不同的触发器类型下享有更高的AUROC和稳定时间。

图1 (a)：不同损坏严重程度下的后门攻击成功率(ASR)。(b)：不同损坏严重程度下干净图像的预测准确性(ACC)。(a)中的曲线分离松散，而(b)中的大部分曲线聚集得更紧密。这表明后门感染模型对后门样本上的不同图像损坏具有不同的鲁棒性，但对干净样本上的不同图像损坏具有相似的鲁棒性。

第37届国际人工智能会议（AAAI Conference on Artificial Intelligence, AAAI’2023）已于2023年2月7日-2月14日在美国华盛顿召开。我院李明慧老师指导的学术论文“PointCA: Evaluating the Robustness of 3D Point Cloud Completion Models Against Adversarial Examples”被AAAI’23录用。AAAI是CCF推荐的A类国际学术会议，在人工智能领域享有很高的学术声誉。这次会议共收到来自8777篇投稿，录用1721篇，录用率约19.6%。

该工作提出了PointCA，这是第一个针对三维点云补全模型的对抗攻击方法。点云补全作为3D识别和分割的上游程序，已经成为许多任务（如导航和场景理解）的重要组成部分。虽然各种点云补全模型已经展示了它们强大的能力，但它们对抗攻击的鲁棒性还未知。现有的针对点云分类器的攻击方法不能应用于补全模型，因为它们有不同的输出形式和攻击目的。因此，该工作提出了一种新的方法来评估点云补全模型的鲁棒性，即PointCA对抗攻击。PointCA可以生成对抗点云，这些点云与原始点云保持高度相似，同时作为另一个具有完全不同语义信息的对象完成。具体而言，我们通过最小化对抗样本与目标点集之间的表征差异来共同探索几何空间和特征空间中的对抗点云。此外，为了发起更隐蔽的攻击，创新地利用邻域密度信息来定制扰动约束，从而为每个点实现基于几何的和分布自适应的修改。

对不同的点云补全网络进行的广泛实验表明，PointCA可导致性能降级从77.9%到16.7%，而结构倒角距离保持在0.01以下。从而得出结论，现有的点云补全模型对于对抗样本十分脆弱，而针对点云分类的最新防御策略在应用于不完整和不均匀的点云数据时将部分失效。

图2 PointCA生成的对抗样本。（Source是针对Ground Truth生成的局部点云。在Source中加入微小的扰动得到Adversary，其生成的Output在视觉上与Target目标样本相似。）