Cooperative multi-agent reinforcement learning (c-MARL) is widely applied in safety-critical scenarios, thus the analysis of robustness for c-MARL models is profoundly important. However, robustness certification for c-MARLs has not yet been explored in the community. In this paper, we propose a novel certification method, which is the first work to leverage a scalable approach for c-MARLs to determine actions with guaranteed certified bounds. c-MARL certification poses two key challenges compared with single-agent systems: (i) the accumulated uncertainty as the number of agents increases; (ii) the potential lack of impact when changing the action of a single agent into a global team reward. These challenges prevent us from directly using existing algorithms. Hence, we employ the false discovery rate (FDR) controlling procedure considering the importance of each agent to certify per-state robustness and propose a tree-search-based algorithm to find a lower bound of the global reward under the minimal certified perturbation. As our method is general, it can also be applied in single-agent environments. We empirically show that our certification bounds are much tighter than state-of-the-art RL certification solutions. We also run experiments on two popular c-MARL algorithms: QMIX and VDN, in two different environments, with two and four agents. The experimental results show that our method produces meaningful guaranteed robustness for all models and environments. Our tool CertifyCMARL is available at https://github.com/TrustAI/CertifyCMA

智能机器人在准确的对象检测模型上取决于感知环境。深度学习安全性的进步揭示了对象检测模型容易受到对抗性攻击的影响。但是，先前的研究主要关注攻击静态图像或离线视频。目前尚不清楚这种攻击是否会危害动态环境中的现实世界机器人应用。理论发现和现实世界应用之间仍然存在差距。我们通过提出第一次实时在线攻击对象检测模型来弥合差距。我们设计了三个攻击，这些攻击在所需位置为不存在的对象制造边界框。

关于深度学习鲁棒性的最新研究表明，视觉变形金刚（VIT）在某些扰动下超过了卷积神经网络（CNN），例如自然腐败，对抗性攻击等。一些论文认为，VIT的优势鲁棒性来自其输入图像的分割；其他人则说，多头自我注意力（MSA）是保持鲁棒性的关键。在本文中，我们旨在引入一个原则和统一的理论框架，以调查有关VIT鲁棒性的这种论点。首先，我们首先证明，与自然语言处理中的变压器不同，VIT是Lipschitz的连续。然后，我们从理论上分析了VIT的对抗性鲁棒性，从库奇问题的角度来看，通过该问题，我们可以量化鲁棒性如何通过层传播。我们证明，第一层也是最后一层是影响VIT稳健性的关键因素。此外，根据我们的理论，我们从经验上表明，与现有研究的主张不同，MSA仅在弱对抗性攻击下有助于VIT的对抗性鲁棒性，例如，FGSM和令人惊讶的是，MSA实际上构成了该模型的对抗性稳健性，在强大的攻击下，强劲的攻击，强烈的攻击下，例如，PGD攻击。

对抗性攻击可以迫使基于CNN的模型通过巧妙地操纵人类侵犯的输入来产生不正确的输出。探索这种扰动可以帮助我们更深入地了解神经网络的脆弱性，并为反对杂项对手提供深入学习的鲁棒性。尽管大量研究着重于图像，音频和NLP的鲁棒性，但仍缺乏视觉对象跟踪的对抗示例（尤其是以黑盒方式）的作品。在本文中，我们提出了一种新颖的对抗性攻击方法，以在黑色框设置下为单个对象跟踪产生噪音，其中仅在跟踪序列的初始框架上添加了扰动，从整个视频剪辑的角度来看，这很难注意到这一点。具体而言，我们将算法分为三个组件，并利用加固学习，以精确地定位重要的框架贴片，同时减少不必要的计算查询开销。与现有技术相比，我们的方法需要在视频的初始化框架上进行更少的查询，以操纵竞争性甚至更好的攻击性能。我们在长期和短期数据集中测试我们的算法，包括OTB100，DOCT2018，UAV123和LASOT。广泛的实验证明了我们方法对三种主流类型的跟踪器类型的有效性：歧视，基于暹罗和强化学习的跟踪器。

3D点云模型被广泛应用于安全至关重要的场景中，该场景迫切需要获得更坚实的证据以验证模型的鲁棒性。点云模型的现有验证方法在大型网络上是廉价的，并且在计算上是无法实现的。此外，他们无法使用包含乘法层的联合对齐网络（JANET）处理完整的点网模型，从而有效地提高了3D模型的性能。这激发了我们设计一个更高效，更一般的框架，以验证点云模型的各种体系结构。验证大规模完整点网模型的关键挑战是在乘法层中处理跨非线性操作以及高维点云输入和添加层的高计算复杂性。因此，我们提出了一个有效的验证框架，即3Dverifier，通过采用线性放松功能来绑定乘法层并将向前和向后传播结合以计算点云模型的输出的认证界限，以应对这两个挑战。我们的综合实验表明，就效率和准确性而言，3Dverifier的3D模型的现有验证算法优于现有的验证算法。值得注意的是，我们的方法可以提高大型网络验证效率的稳定级，并且获得的认证界限也比最先进的验证者更严格。我们通过https://github.com/trustai/3dverifier发布工具3Dverifier，以供社区使用。

在安全 - 关键的深度学习应用中，鲁棒性测量是一个至关重要的前部阶段。但是，现有的鲁棒性验证方法对于在现实世界中部署机器学习系统不足以实用。一方面，这些方法试图声称没有扰动可以``傻瓜''深神经网络（DNNS），这在实践中可能太严格了。另一方面，现有作品严格考虑像素空间上的$ l_p $有界的添加剂扰动，尽管扰动（例如颜色转换和几何变换）在现实世界中更实际且经常发生。因此，从实际的角度来看，我们提出了一种基于适应性浓度的新颖和一般{\ IT概率的稳健性评估方法}（ProA），并且可以测量深度学习模型对功能扰动的鲁棒性。 PROA可以根据模型的概率鲁棒性提供统计保证，\ textit {i.e。}，部署后训练有素的模型遇到的失败概率。我们的实验证明了PAA在评估对广泛功能扰动的概率鲁棒性方面的有效性和灵活性，并且与现有的最新基准相比，POA可以很好地扩展到各种大型深度神经网络。为了重现性，我们在github上发布工具：\ url {https://github.com/trustai/proa}。

近年来，一项大量的研究努力集中在对抗图像上的对抗攻击，而对抗性视频攻击很少被探索。我们提出了对叫做Deepsava的竞争对手攻击战略。我们的模型包括通过统一优化框架的添加剂扰动和空间转换，其中采用结构相似性指数（SSIM）测量来测量对抗距离。我们设计一种有效和新的优化方案，可替代地利用贝叶斯优化来识别视频和随机梯度下降（SGD）优化中最有影响力的帧，以产生添加剂和空间变换的扰动。这样做使DeepSava能够对视频进行非常稀疏的攻击，以维持人类难以察觉，同时在攻击成功率和对抗转移性方面仍然实现最先进的性能。我们对各种类型的深神经网络和视频数据集的密集实验证实了Deepsava的优越性。

随着深度神经网络中的研究的发展，深度卷积网络对于自动驾驶任务而言是可行的。在驾驶任务的自动化中采用端到端模型有一种新兴趋势。但是，以前的研究揭示了深层神经网络在分类任务中容易受到对抗性攻击的影响。对于回归任务，例如自动驾驶，这些攻击的效果仍然很少探索。在这项研究中，我们设计了针对端到端自动驾驶系统的两次白盒针对性攻击。驾驶模型将图像作为输入并输出转向角度。我们的攻击只能通过扰动输入图像来操纵自主驾驶系统的行为。两种攻击都可以在不使用GPU的情况下实时对CPU进行实时启动。这项研究旨在引起人们对安全关键系统中端到端模型的应用的担忧。

We propose a distributionally robust return-risk model for Markov decision processes (MDPs) under risk and reward ambiguity. The proposed model optimizes the weighted average of mean and percentile performances, and it covers the distributionally robust MDPs and the distributionally robust chance-constrained MDPs (both under reward ambiguity) as special cases. By considering that the unknown reward distribution lies in a Wasserstein ambiguity set, we derive the tractable reformulation for our model. In particular, we show that that the return-risk model can also account for risk from uncertain transition kernel when one only seeks deterministic policies, and that a distributionally robust MDP under the percentile criterion can be reformulated as its nominal counterpart at an adjusted risk level. A scalable first-order algorithm is designed to solve large-scale problems, and we demonstrate the advantages of our proposed model and algorithm through numerical experiments.

Recently, great progress has been made in single-image super-resolution (SISR) based on deep learning technology. However, the existing methods usually require a large computational cost. Meanwhile, the activation function will cause some features of the intermediate layer to be lost. Therefore, it is a challenge to make the model lightweight while reducing the impact of intermediate feature loss on the reconstruction quality. In this paper, we propose a Feature Interaction Weighted Hybrid Network (FIWHN) to alleviate the above problem. Specifically, FIWHN consists of a series of novel Wide-residual Distillation Interaction Blocks (WDIB) as the backbone, where every third WDIBs form a Feature shuffle Weighted Group (FSWG) by mutual information mixing and fusion. In addition, to mitigate the adverse effects of intermediate feature loss on the reconstruction results, we introduced a well-designed Wide Convolutional Residual Weighting (WCRW) and Wide Identical Residual Weighting (WIRW) units in WDIB, and effectively cross-fused features of different finenesses through a Wide-residual Distillation Connection (WRDC) framework and a Self-Calibrating Fusion (SCF) unit. Finally, to complement the global features lacking in the CNN model, we introduced the Transformer into our model and explored a new way of combining the CNN and Transformer. Extensive quantitative and qualitative experiments on low-level and high-level tasks show that our proposed FIWHN can achieve a good balance between performance and efficiency, and is more conducive to downstream tasks to solve problems in low-pixel scenarios.