Recent researches show that the deep learning based object detection is vulnerable to adversarial examples. Generally, the adversarial attack for object detection contains targeted attack and untargeted attack. According to our detailed investigations, the research on the former is relatively fewer than the latter and all the existing methods for the targeted attack follow the same mode, i.e., the object-mislabeling mode that misleads detectors to mislabel the detected object as a specific wrong label. However, this mode has limited attack success rate, universal and generalization performances. In this paper, we propose a new object-fabrication targeted attack mode which can mislead detectors to `fabricate' extra false objects with specific target labels. Furthermore, we design a dual attention based targeted feature space attack method to implement the proposed targeted attack mode. The attack performances of the proposed mode and method are evaluated on MS COCO and BDD100K datasets using FasterRCNN and YOLOv5. Evaluation results demonstrate that, the proposed object-fabrication targeted attack mode and the corresponding targeted feature space attack method show significant improvements in terms of image-specific attack, universal performance and generalization capability, compared with the previous targeted attack for object detection. Code will be made available.

The security of artificial intelligence (AI) is an important research area towards safe, reliable, and trustworthy AI systems. To accelerate the research on AI security, the Artificial Intelligence Security Competition (AISC) was organized by the Zhongguancun Laboratory, China Industrial Control Systems Cyber Emergency Response Team, Institute for Artificial Intelligence, Tsinghua University, and RealAI as part of the Zhongguancun International Frontier Technology Innovation Competition (https://www.zgc-aisc.com/en). The competition consists of three tracks, including Deepfake Security Competition, Autonomous Driving Security Competition, and Face Recognition Security Competition. This report will introduce the competition rules of these three tracks and the solutions of top-ranking teams in each track.

样品选择是减轻标签噪声在鲁棒学习中的影响的有效策略。典型的策略通常应用小损失标准来识别干净的样品。但是，这些样本位于决策边界周围，通常会与嘈杂的例子纠缠在一起，这将被此标准丢弃，从而导致概括性能的严重退化。在本文中，我们提出了一种新颖的选择策略，\ textbf {s} elf- \ textbf {f} il \ textbf {t} ering（sft），它利用历史预测中嘈杂的示例的波动来过滤它们，可以过滤它们，这可以是可以过滤的。避免在边界示例中的小损失标准的选择偏置。具体来说，我们介绍了一个存储库模块，该模块存储了每个示例的历史预测，并动态更新以支持随后的学习迭代的选择。此外，为了减少SFT样本选择偏置的累积误差，我们设计了一个正规化术语来惩罚自信的输出分布。通过通过此术语增加错误分类类别的重量，损失函数在轻度条件下标记噪声是可靠的。我们对具有变化噪声类型的三个基准测试并实现了新的最先进的实验。消融研究和进一步分析验证了SFT在健壮学习中选择样本的优点。

标签噪声显着降低了应用中深度模型的泛化能力。有效的策略和方法，\ Texit {例如}重新加权或损失校正，旨在在训练神经网络时缓解标签噪声的负面影响。这些现有的工作通常依赖于预指定的架构并手动调整附加的超参数。在本文中，我们提出了翘曲的概率推断（WARPI），以便在元学习情景中自适应地整理分类网络的培训程序。与确定性模型相比，WARPI通过学习摊销元网络来制定为分层概率模型，这可以解决样本模糊性，因此对严格的标签噪声更加坚固。与直接生成损耗的重量值的现有近似加权功能不同，我们的元网络被学习以估计从登录和标签的输入来估计整流向量，这具有利用躺在它们中的足够信息的能力。这提供了纠正分类网络的学习过程的有效方法，证明了泛化能力的显着提高。此外，可以将整流载体建模为潜在变量并学习元网络，可以无缝地集成到分类网络的SGD优化中。我们在嘈杂的标签上评估了四个强大学习基准的Warpi，并在变体噪声类型下实现了新的最先进的。广泛的研究和分析还展示了我们模型的有效性。

The image recapture attack is an effective image manipulation method to erase certain forensic traces, and when targeting on personal document images, it poses a great threat to the security of e-commerce and other web applications. Considering the current learning-based methods suffer from serious overfitting problem, in this paper, we propose a novel two-branch deep neural network by mining better generalized recapture artifacts with a designed frequency filter bank and multi-scale cross-attention fusion module. In the extensive experiment, we show that our method can achieve better generalization capability compared with state-of-the-art techniques on different scenarios.

随着过去五年的快速发展，面部身份验证已成为最普遍的生物识别方法。得益于高准确的识别性能和用户友好的用法，自动面部识别（AFR）已爆炸成多次实用的应用程序，而不是设备解锁，签到和经济支付。尽管面部身份验证取得了巨大的成功，但各种面部表现攻击（FPA），例如印刷攻击，重播攻击和3D面具攻击，但仍引起了不信任的问题。除了身体上的攻击外，面部视频/图像很容易受到恶意黑客发起的各种数字攻击技术的影响，从而对整个公众造成了潜在的威胁。由于无限制地访问了巨大的数字面部图像/视频，并披露了互联网上流通的易于使用的面部操纵工具，因此没有任何先前专业技能的非专家攻击者能够轻松创建精致的假面，从而导致许多危险的应用程序例如财务欺诈，模仿和身份盗用。这项调查旨在通过提供对现有文献的彻底分析并突出需要进一步关注的问题来建立面部取证的完整性。在本文中，我们首先全面调查了物理和数字面部攻击类型和数据集。然后，我们回顾了现有的反攻击方法的最新和最先进的进度，并突出显示其当前限制。此外，我们概述了面对法医社区中现有和即将面临的挑战的未来研究指示。最后，已经讨论了联合物理和数字面部攻击检​​测的必要性，这在先前的调查中从未进行过研究。

在过去的几年中，深度学习取得了巨大的成功。但是，面对非IID情况，深度学习的表现可能会阻碍。域的概括（DG）使模型可以概括为看不见的测试分布，即学习域不变表示。在本文中，我们认为域不变的特征应起源于内部和相互侧面。内部不变性意味着可以通过单个域学习这些功能，并且该功能捕获了数据的内在语义，即在域内的属性，这是其他域的不可知论。相互不变性意味着可以通过多个域（跨域）学习这些特征，并且功能包含常见信息，即可转移的功能W.R.T.其他域。然后，我们为域不变特征探索提出了DIFEX。 DIFEX采用知识蒸馏框架来捕获高级傅立叶相，作为内部不变的特征，并将跨域相关对准作为相互不变的特征。我们进一步设计了探索损失，以增加功能多样性以更好地概括。对时间序列和视觉基准测试的广泛实验表明，所提出的DIFEX实现了最先进的性能。

域的概括旨在提高机器学习系统到分布（OOD）数据的概括能力。现有的域概括技术将启动固定和离散环境，以解决由OOD数据引起的概括问题。但是，非平稳环境中的许多实际任务（例如，自动驱动的汽车系统，传感器度量）涉及更复杂和不断发展的域漂移，这为域概括的问题带来了新的挑战。在本文中，我们将上述设置作为不断发展的域概括问题。具体而言，我们建议引入一个称为潜在结构感知的顺序自动编码器（LSSAE）的概率框架，以解决通过探索深神经网络潜在空间中的基本连续结构来解决域的概括问题，我们旨在识别两个主要因素即协变量的转移和概念转移核算非平稳环境中的分配转移。合成和现实世界数据集的实验结果表明，LSSAE可以基于不断发展的域概括设置导致出色的性能。

注意机制主导着深层模型的解释性。它们在输入上产生概率分布，该输入被广泛认为是特征对重要指标。但是，在本文中，我们发现注意力解释中的一个关键局限性：识别特征影响的极性的弱点。这将是一种误导性 - 注意力较高的特征可能不会忠实地促进模型预测；相反，它们可以施加抑制作用。有了这一发现，我们反思了当前基于注意力的技术的解释性，例如Attentio $ \ odot $梯度和基于LRP的注意解释。我们首先提出了一种可操作的诊断方法（此后忠实违规测试），以衡量解释权重与影响极性之间的一致性。通过广泛的实验，我们表明大多数经过测试的解释方法出乎意料地受到违反忠诚问题的阻碍，尤其是原始关注。对影响违规问题的因素的经验分析进一步为采用注意模型中采用解释方法提供了有用的观察。

最新的深层神经网络容易受到共同损坏的影响（例如，由天气变化，系统错误和处理引起的输入数据降解，扭曲和干扰）。尽管在分析和改善模型在图像理解中的鲁棒性方面取得了很多进展，但视频理解中的鲁棒性在很大程度上没有探索。在本文中，我们建立了腐败的鲁棒性基准，迷你动力学-C和Mini SSV2-C，该基准认为图像中的空间腐败以外的时间腐败。我们首次尝试对建立的基于CNN和基于变压器的时空模型的腐败鲁棒性进行详尽的研究。该研究提供了有关强大模型设计和培训的一些指导：基于变压器的模型比基于CNN的模型更好地腐败鲁棒性。时空模型的概括能力意味着对时间腐败的鲁棒性；模型腐败鲁棒性（尤其是时间领域的鲁棒性）通过计算成本和模型容量增强，这可能与提高模型计算效率的当前趋势相矛盾。此外，我们发现与图像相关的任务（例如，具有噪声的训练模型）的鲁棒性干预可能对时空模型不起作用。