論文の概要: AI Evasion and Impersonation Attacks on Facial Re-Identification with Activation Map Explanations

• arxiv url: http://arxiv.org/abs/2603.15396v1
• Date: Mon, 16 Mar 2026 15:12:41 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-17 18:28:58.524899
• Title: AI Evasion and Impersonation Attacks on Facial Re-Identification with Activation Map Explanations
• Title（参考訳）: アクティベーションマップによる顔認証におけるAI普及と偽造攻撃
• Authors: Noe Claudel, Weisi Guo, Yang Xing,
• Abstract要約: 本稿では,回避攻撃と偽装攻撃の両方が可能な敵パッチを生成するための新しい枠組みを提案する。 我々は,条件付きエンコーダ・デコーダネットワークを用いて,ソース画像とターゲット画像からのマルチスケール特徴を導出して,逆パッチを1つのフォワードパスで合成する。 我々のフレームワークはCelebA-HQで27%の成功率を獲得し、他のパッチベースの手法と競合する。
• 参考スコア（独自算出の注目度）: 13.564481603680838
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Facial identification systems are increasingly deployed in surveillance and yet their vulnerability to adversarial evasion and impersonation attacks pose a critical risk. This paper introduces a novel framework for generating adversarial patches capable of both evasion and impersonation attacks against deep re-identification models across non-overlapping cameras. Unlike prior approaches that require iterative patch optimisation for each target, our method employs a conditional encoder-decoder network to synthesize adversarial patches in a single forward pass, guided by multi-scale features from source and target images. The patches are optimised with a dual adversarial objective comprising of pull and push terms. To enhance imperceptibility and aid physical deployment, we further integrate naturalistic patch generation using pre-trained latent diffusion models. Experiments on standard pedestrian (Market-1501, DukeMTMCreID) and facial recognition benchmarks (CelebA-HQ, PubFig) datasets demonstrate the effectiveness of the proposed method. Our adversarial evasion attacks reduce mean Average Precision from 90% to 0.4% in white-box settings and from 72% to 0.4% in black-box settings, showing strong cross-model generalization. In targeted impersonation attacks, our framework achieves a success rate of 27% on CelebA-HQ, competing with other patch-based methods. We go further to use clustering of activation maps to interpret which features are most used by adversarial attacks and propose a pathway for future countermeasures. The results highlight the practicality of adversarial patch attacks on retrieval-based systems and underline the urgent need for robust defense strategies.
• Abstract（参考訳）: 顔認証システムはますます監視に利用されてきているが、敵の逃避や偽装攻撃に対する脆弱性は重大なリスクをもたらす。 本稿では,非重複カメラ間の深部再識別モデルに対する回避攻撃と偽装攻撃の両方が可能な敵パッチを生成するための新しい枠組みを提案する。 提案手法は,各ターゲットに対して反復的パッチ最適化を必要とする従来のアプローチとは異なり,条件付きエンコーダデコーダネットワークを用いて,ソースやターゲット画像からのマルチスケール特徴によって誘導される単一のフォワードパスにおいて,逆パッチを合成する。 パッチは、プル項とプッシュ項からなる二重対向目的によって最適化される。 適応性を高め,物理的展開を支援するために,事前学習した潜伏拡散モデルを用いた自然主義的パッチ生成をさらに統合する。 標準歩行者 (Market-1501, DukeMTMCreID) と顔認識ベンチマーク (CelebA-HQ, PubFig) を用いた実験により,提案手法の有効性が示された。 敵の回避攻撃により、平均精度はホワイトボックス設定では90%から0.4%、ブラックボックス設定では72%から0.4%に低下し、クロスモデル一般化が強かった。 ターゲット型偽造攻撃では,CelebA-HQで27%の成功率を達成し,他のパッチベースの手法と競合する。 さらに, アクティベーションマップのクラスタリングを用いて, 敵攻撃で最も使用される特徴を解釈し, 今後の対策の道筋を提案する。 その結果, 検索システムに対する敵パッチ攻撃の実用性を強調し, 堅牢な防衛戦略の必要性を浮き彫りにした。

関連論文リスト

• Seeing Isn't Believing: Context-Aware Adversarial Patch Synthesis via Conditional GAN [2.02409171087469]
  完全制御可能な敵パッチ生成のための新しいフレームワークを提案する。 攻撃者は、入力画像xとターゲットクラスyターゲットの両方を自由に選択でき、したがって正確な誤分類結果を決定する。 提案手法は,生成的U-Net設計とGrad-CAM誘導パッチ配置を組み合わせることで,セマンティック・アウェア・ローカライゼーションを実現する。
  論文  参考訳（メタデータ） (2025-09-26T18:39:21Z)
• DisPatch: Disarming Adversarial Patches in Object Detection with Diffusion Models [8.800216228212824]
  最先端のオブジェクト検出器はいまだに敵のパッチ攻撃に弱い。 オブジェクト検出のための最初の拡散型防御フレームワークであるDisdisを紹介する。 DISは、隠蔽攻撃と攻撃生成の両方において、最先端の防御を一貫して上回る。
  論文  参考訳（メタデータ） (2025-09-04T18:20:36Z)
• SAP-DIFF: Semantic Adversarial Patch Generation for Black-Box Face Recognition Models via Diffusion Models [4.970240615354004]
  敵対的妨害によって攻撃者は正当性を装うことができるため、偽装攻撃は重大な脅威となる。 そこで本研究では,直接画素操作ではなく,潜在空間における意味摂動による逆パッチ生成手法を提案する。 提案手法は,平均攻撃成功率を45.66%向上させ,クエリ数を約40%削減する。
  論文  参考訳（メタデータ） (2025-02-27T02:57:29Z)
• Meta Invariance Defense Towards Generalizable Robustness to Unknown Adversarial Attacks [62.036798488144306]
  現在の防衛は主に既知の攻撃に焦点を当てているが、未知の攻撃に対する敵意の強固さは見過ごされている。 メタ不変防衛(Meta Invariance Defense, MID)と呼ばれる攻撃非依存の防御手法を提案する。 MIDは高レベルの画像分類と低レベルの頑健な画像再生における攻撃抑制において,知覚不能な逆方向の摂動に対して同時に頑健性を実現する。
  論文  参考訳（メタデータ） (2024-04-04T10:10:38Z)
• Mutual-modality Adversarial Attack with Semantic Perturbation [81.66172089175346]
  本稿では,相互モダリティ最適化スキームにおける敵攻撃を生成する新しい手法を提案する。 我々の手法は最先端の攻撃方法より優れており、プラグイン・アンド・プレイ・ソリューションとして容易にデプロイできる。
  論文  参考訳（メタデータ） (2023-12-20T05:06:01Z)
• Guidance Through Surrogate: Towards a Generic Diagnostic Attack [101.36906370355435]
  我々は、攻撃最適化中に局所最小限を避けるための誘導機構を開発し、G-PGAと呼ばれる新たな攻撃に繋がる。 修正された攻撃では、ランダムに再起動したり、多数の攻撃を繰り返したり、最適なステップサイズを検索したりする必要がありません。 効果的な攻撃以上に、G-PGAは敵防御における勾配マスキングによる解離性堅牢性を明らかにするための診断ツールとして用いられる。
  論文  参考訳（メタデータ） (2022-12-30T18:45:23Z)
• Simultaneously Optimizing Perturbations and Positions for Black-box Adversarial Patch Attacks [13.19708582519833]
  敵パッチは、ディープニューラルネットワークの堅牢性に重大なリスクをもたらす、現実世界の敵攻撃の重要な形態である。 従来の方法は、貼付位置を固定しながら摂動値を最適化するか、パッチの内容を修正しながら位置を操作することにより、敵パッチを生成する。 敵パッチの位置と摂動を同時に最適化し,ブラックボックス設定において高い攻撃成功率が得られる新しい手法を提案する。
  論文  参考訳（メタデータ） (2022-12-26T02:48:37Z)
• Benchmarking Adversarial Patch Against Aerial Detection [11.591143898488312]
  適応パッチに基づく新しい物理攻撃(AP-PA)フレームワークを提案する。 AP-PAは、物理力学と様々なスケールに適応する逆パッチを生成する。 航空探知作業における敵パッチの攻撃効果を評価するため, 包括的, 一貫性, 厳密なベンチマークを最初に確立した。
  論文  参考訳（メタデータ） (2022-10-30T07:55:59Z)
• Adv-Attribute: Inconspicuous and Transferable Adversarial Attack on Face Recognition [111.1952945740271]
  Adv-Attribute (Adv-Attribute) は、顔認証に対する不明瞭で伝達可能な攻撃を生成するように設計されている。 FFHQとCelebA-HQデータセットの実験は、提案されたAdv-Attributeメソッドが最先端の攻撃成功率を達成することを示している。
  論文  参考訳（メタデータ） (2022-10-13T09:56:36Z)
• A Self-supervised Approach for Adversarial Robustness [105.88250594033053]
  敵対的な例は、ディープニューラルネットワーク(DNN)ベースの視覚システムにおいて破滅的な誤りを引き起こす可能性がある。 本稿では,入力空間における自己教師型対向学習機構を提案する。 これは、反逆攻撃に対する強力な堅牢性を提供する。
  論文  参考訳（メタデータ） (2020-06-08T20:42:39Z)
• Temporal Sparse Adversarial Attack on Sequence-based Gait Recognition [56.844587127848854]
  このような攻撃に対して,最先端の歩行認識モデルが脆弱であることを示す。 生成した対向ネットワークに基づくアーキテクチャを用いて、対向的な高品質な歩行シルエットやビデオフレームを意味的に生成する。 実験結果から, フレームの1分の1しか攻撃されない場合, 対象モデルの精度は劇的に低下することがわかった。
  論文  参考訳（メタデータ） (2020-02-22T10:08:42Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。