长期以来，3D面部识别因其抵抗当前的物理对抗攻击（例如对抗斑块）而被认为是安全的。但是，本文表明，3D面部识别系统很容易受到攻击，从而导致逃避和模仿攻击。我们是第一个针对3D面部识别系统（称为结构化光成像攻击（SLIA）的）提出可实现的攻击的人，该系统利用了基于结构化的3D扫描设备的弱点。 Slia在结构化的光成像系统中利用投影仪来创建对抗性照明，以污染重建的点云。首先，我们提出了一个3D变换不变的损耗函数（3D-TI），以生成对逆动力的对抗扰动，这对头部运动更强大。然后，我们将3D成像过程集成到攻击优化中，从而最大程度地减少了流条纹模式的总像素转移。我们意识到对现实世界3D面部识别系统的躲避和模仿攻击。与倒角和基于倒角+KNN的方法相比，我们的方法对预计模式的修改需要较少，并且达到0.47（模拟）和0.89（躲避）的平均攻击成功率。本文揭示了当前结构化的光成像技术的不安全感，并阐明了设计安全的3D面部识别身份验证系统。

最近，3D深度学习模型已被证明易于对其2D对应物的对抗性攻击影响。大多数最先进的（SOTA）3D对抗性攻击对3D点云进行扰动。为了在物理场景中再现这些攻击，需要重建生成的对抗3D点云以网状，这导致其对抗效果显着下降。在本文中，我们提出了一个名为Mesh攻击的强烈的3D对抗性攻击，通过直接对3D对象的网格进行扰动来解决这个问题。为了利用最有效的基于梯度的攻击，介绍了一种可差异化的样本模块，其反向传播点云梯度以网格传播。为了进一步确保没有异常值和3D可打印的对抗性网状示例，采用了三种网格损耗。广泛的实验表明，所提出的方案优于SOTA 3D攻击，通过显着的保证金。我们还在各种防御下实现了SOTA表现。我们的代码可用于：https：//github.com/cuge1995/mesh-attack。

Point cloud completion, as the upstream procedure of 3D recognition and segmentation, has become an essential part of many tasks such as navigation and scene understanding. While various point cloud completion models have demonstrated their powerful capabilities, their robustness against adversarial attacks, which have been proven to be fatally malicious towards deep neural networks, remains unknown. In addition, existing attack approaches towards point cloud classifiers cannot be applied to the completion models due to different output forms and attack purposes. In order to evaluate the robustness of the completion models, we propose PointCA, the first adversarial attack against 3D point cloud completion models. PointCA can generate adversarial point clouds that maintain high similarity with the original ones, while being completed as another object with totally different semantic information. Specifically, we minimize the representation discrepancy between the adversarial example and the target point set to jointly explore the adversarial point clouds in the geometry space and the feature space. Furthermore, to launch a stealthier attack, we innovatively employ the neighbourhood density information to tailor the perturbation constraint, leading to geometry-aware and distribution-adaptive modifications for each point. Extensive experiments against different premier point cloud completion networks show that PointCA can cause a performance degradation from 77.9% to 16.7%, with the structure chamfer distance kept below 0.01. We conclude that existing completion models are severely vulnerable to adversarial examples, and state-of-the-art defenses for point cloud classification will be partially invalid when applied to incomplete and uneven point cloud data.

虽然近年来，在2D图像领域的攻击和防御中，许多努力已经探讨了3D模型的脆弱性。现有的3D攻击者通常在点云上执行点明智的扰动，从而导致变形的结构或异常值，这很容易被人类察觉。此外，它们的对抗示例是在白盒设置下产生的，当转移到攻击远程黑匣子型号时经常遭受低成功率。在本文中，我们通过提出一种新的难以察觉的转移攻击（ITA）：1）难以察觉的3D点云攻击来自两个新的和具有挑战性的观点：1）难以察觉：沿着邻域表面的正常向量限制每个点的扰动方向，导致产生具有类似几何特性的示例，从而增强了难以察觉。 2）可转移性：我们开发了一个对抗性转变模型，以产生最有害的扭曲，并强制实施对抗性示例来抵抗它，从而提高其对未知黑匣子型号的可转移性。此外，我们建议通过学习更辨别的点云表示来培训更强大的黑盒3D模型来防御此类ITA攻击。广泛的评估表明，我们的ITA攻击比最先进的人更令人无法察觉和可转让，并验证我们的国防战略的优势。

Although Deep Neural Networks (DNNs) have achieved impressive results in computer vision, their exposed vulnerability to adversarial attacks remains a serious concern. A series of works has shown that by adding elaborate perturbations to images, DNNs could have catastrophic degradation in performance metrics. And this phenomenon does not only exist in the digital space but also in the physical space. Therefore, estimating the security of these DNNs-based systems is critical for safely deploying them in the real world, especially for security-critical applications, e.g., autonomous cars, video surveillance, and medical diagnosis. In this paper, we focus on physical adversarial attacks and provide a comprehensive survey of over 150 existing papers. We first clarify the concept of the physical adversarial attack and analyze its characteristics. Then, we define the adversarial medium, essential to perform attacks in the physical world. Next, we present the physical adversarial attack methods in task order: classification, detection, and re-identification, and introduce their performance in solving the trilemma: effectiveness, stealthiness, and robustness. In the end, we discuss the current challenges and potential future directions.

To assess the vulnerability of deep learning in the physical world, recent works introduce adversarial patches and apply them on different tasks. In this paper, we propose another kind of adversarial patch: the Meaningful Adversarial Sticker, a physically feasible and stealthy attack method by using real stickers existing in our life. Unlike the previous adversarial patches by designing perturbations, our method manipulates the sticker's pasting position and rotation angle on the objects to perform physical attacks. Because the position and rotation angle are less affected by the printing loss and color distortion, adversarial stickers can keep good attacking performance in the physical world. Besides, to make adversarial stickers more practical in real scenes, we conduct attacks in the black-box setting with the limited information rather than the white-box setting with all the details of threat models. To effectively solve for the sticker's parameters, we design the Region based Heuristic Differential Evolution Algorithm, which utilizes the new-found regional aggregation of effective solutions and the adaptive adjustment strategy of the evaluation criteria. Our method is comprehensively verified in the face recognition and then extended to the image retrieval and traffic sign recognition. Extensive experiments show the proposed method is effective and efficient in complex physical conditions and has a good generalization for different tasks.

利用3D点云数据已经成为在面部识别和自动驾驶等许多领域部署人工智能的迫切需要。然而，3D点云的深度学习仍然容易受到对抗的攻击，例如迭代攻击，点转换攻击和生成攻击。这些攻击需要在严格的界限内限制对抗性示例的扰动，导致不切实际的逆势3D点云。在本文中，我们提出了对普遍的图形 - 卷积生成的对抗网络（ADVGCGAN）从头开始产生视觉上现实的对抗3D点云。具体地，我们使用图形卷积发电机和带有辅助分类器的鉴别器来生成现实点云，从真实3D数据学习潜在分布。不受限制的对抗性攻击损失纳入GaN的特殊逆势训练中，使得发电机能够产生对抗实例来欺骗目标网络。与现有的最先进的攻击方法相比，实验结果表明了我们不受限制的对抗性攻击方法的有效性，具有更高的攻击成功率和视觉质量。此外，拟议的Advgcan可以实现更好的防御模型和比具有强烈伪装的现有攻击方法更好的转移性能。

在过去的十年中，深度学习急剧改变了传统的手工艺特征方式，具有强大的功能学习能力，从而极大地改善了传统任务。然而，最近已经证明了深层神经网络容易受到对抗性例子的影响，这种恶意样本由小型设计的噪音制作，误导了DNNs做出错误的决定，同时仍然对人类无法察觉。对抗性示例可以分为数字对抗攻击和物理对抗攻击。数字对抗攻击主要是在实验室环境中进行的，重点是改善对抗性攻击算法的性能。相比之下，物理对抗性攻击集中于攻击物理世界部署的DNN系统，这是由于复杂的物理环境（即亮度，遮挡等），这是一项更具挑战性的任务。尽管数字对抗和物理对抗性示例之间的差异很小，但物理对抗示例具有特定的设计，可以克服复杂的物理环境的效果。在本文中，我们回顾了基于DNN的计算机视觉任务任务中的物理对抗攻击的开发，包括图像识别任务，对象检测任务和语义细分。为了完整的算法演化，我们将简要介绍不涉及身体对抗性攻击的作品。我们首先提出一个分类方案，以总结当前的物理对抗攻击。然后讨论现有的物理对抗攻击的优势和缺点，并专注于用于维持对抗性的技术，当应用于物理环境中时。最后，我们指出要解决的当前身体对抗攻击的问题并提供有前途的研究方向。

Deep learning-based 3D object detectors have made significant progress in recent years and have been deployed in a wide range of applications. It is crucial to understand the robustness of detectors against adversarial attacks when employing detectors in security-critical applications. In this paper, we make the first attempt to conduct a thorough evaluation and analysis of the robustness of 3D detectors under adversarial attacks. Specifically, we first extend three kinds of adversarial attacks to the 3D object detection task to benchmark the robustness of state-of-the-art 3D object detectors against attacks on KITTI and Waymo datasets, subsequently followed by the analysis of the relationship between robustness and properties of detectors. Then, we explore the transferability of cross-model, cross-task, and cross-data attacks. We finally conduct comprehensive experiments of defense for 3D detectors, demonstrating that simple transformations like flipping are of little help in improving robustness when the strategy of transformation imposed on input point cloud data is exposed to attackers. Our findings will facilitate investigations in understanding and defending the adversarial attacks against 3D object detectors to advance this field.

Adversarial patch is an important form of real-world adversarial attack that brings serious risks to the robustness of deep neural networks. Previous methods generate adversarial patches by either optimizing their perturbation values while fixing the pasting position or manipulating the position while fixing the patch's content. This reveals that the positions and perturbations are both important to the adversarial attack. For that, in this paper, we propose a novel method to simultaneously optimize the position and perturbation for an adversarial patch, and thus obtain a high attack success rate in the black-box setting. Technically, we regard the patch's position, the pre-designed hyper-parameters to determine the patch's perturbations as the variables, and utilize the reinforcement learning framework to simultaneously solve for the optimal solution based on the rewards obtained from the target model with a small number of queries. Extensive experiments are conducted on the Face Recognition (FR) task, and results on four representative FR models show that our method can significantly improve the attack success rate and query efficiency. Besides, experiments on the commercial FR service and physical environments confirm its practical application value. We also extend our method to the traffic sign recognition task to verify its generalization ability.

近年来，由于深度神经网络的发展，面部识别取得了很大的进步，但最近发现深神经网络容易受到对抗性例子的影响。这意味着基于深神经网络的面部识别模型或系统也容易受到对抗例子的影响。但是，现有的攻击面部识别模型或具有对抗性示例的系统可以有效地完成白色盒子攻击，而不是黑盒模仿攻击，物理攻击或方便的攻击，尤其是在商业面部识别系统上。在本文中，我们提出了一种攻击面部识别模型或称为RSTAM的系统的新方法，该方法可以使用由移动和紧凑型打印机打印的对抗性面膜进行有效的黑盒模仿攻击。首先，RSTAM通过我们提出的随机相似性转换策略来增强对抗性面罩的可传递性。此外，我们提出了一种随机的元优化策略，以结合几种预训练的面部模型来产生更一般的对抗性掩模。最后，我们在Celeba-HQ，LFW，化妆转移（MT）和CASIA-FACEV5数据集上进行实验。还对攻击的性能进行了最新的商业面部识别系统的评估：Face ++，Baidu，Aliyun，Tencent和Microsoft。广泛的实验表明，RSTAM可以有效地对面部识别模型或系统进行黑盒模仿攻击。

随着各种3D安全关键应用的关注，点云学习模型已被证明容易受到对抗性攻击的影响。尽管现有的3D攻击方法达到了很高的成功率，但它们会以明显的扰动来深入研究数据空间，这可能会忽略几何特征。取而代之的是，我们从新的角度提出了点云攻击 - 图谱域攻击，旨在在光谱域中扰动图形转换系数，该系数对应于改变某些几何结构。具体而言，利用图形信号处理，我们首先通过图形傅立叶变换（GFT）自适应地将点的坐标转换为光谱域，以进行紧凑的表示。然后，我们基于我们建议通过可学习的图形光谱滤波器扰动GFT系数的几何结构的影响。考虑到低频组件主要有助于3D对象的粗糙形状，我们进一步引入了低频约束，以限制不察觉到的高频组件中的扰动。最后，通过将扰动的光谱表示形式转换回数据域，从而生成对抗点云。实验结果证明了拟议攻击的有效性，这些攻击既有易经性和攻击成功率。

3D动态点云提供了现实世界中的对象或运动场景的离散表示，这些对象已被广泛应用于沉浸式触发，自主驾驶，监视，\ textit {etc}。但是，从传感器中获得的点云通常受到噪声的扰动，这会影响下游任务，例如表面重建和分析。尽管为静态点云降级而做出了许多努力，但很少有作品解决动态点云降级。在本文中，我们提出了一种新型的基于梯度的动态点云降解方法，利用了梯度场估计的时间对应关系，这也是动态点云处理和分析中的基本问题。梯度场是嘈杂点云的对数概况函数的梯度，我们基于我们执行梯度上升，以使每个点收敛到下面的清洁表面。我们通过利用时间对应关系来估计每个表面斑块的梯度，在该时间对应关系中，在经典力学中搜索了在刚性运动的情况下搜索的时间对应贴片。特别是，我们将每个贴片视为一个刚性对象，它通过力在相邻框架的梯度场中移动，直到达到平衡状态，即当贴片上的梯度总和到达0时。由于梯度在该点更接近下面的表面，平衡贴片将适合下层表面，从而导致时间对应关系。最后，沿贴片中每个点的位置沿相邻帧中相应的贴片平均的梯度方向更新。实验结果表明，所提出的模型优于最先进的方法。

最近的进步表明，深度神经网络（DNN）容易受到对抗性扰动的影响。因此，有必要使用对抗攻击评估高级DNN的鲁棒性。但是，将使用贴纸作为扰动的传统物理攻击比最近的基于光的物理攻击更容易受到伤害。在这项工作中，我们提出了一种基于投影仪的物理攻击，称为“对抗颜色投影（ADVCP）”，该攻击通过操纵投影光的物理参数来进行对抗攻击。实验显示了我们方法在数字和物理环境中的有效性。实验结果表明，所提出的方法具有出色的攻击传递性，它赋予了Advcp有效的BlackBox攻击。我们向ADVCP提出威胁，威胁到未来的基于视觉的系统和应用程序，并提出一些基于轻型物理攻击的想法。

深度神经网络（DNN）易受侵略性的例子，仔细设计用于导致深度学习模型犯错误。已经广泛研究了2D图像和3D点云的对手示例，但基于事件的数据的研究有限。基于事件的数据可以是在高速运动之下的2D图像的替代方案，例如自主驾驶。然而，给定的对抗事件使当前的深度学习模型容易受到安全问题的影响。在这项工作中，我们生成了对手示例，然后首次培训基于事件的数据的强大模型。我们的算法转移原始事件的时间并生成其他对抗事件。额外的对抗事件是在两个阶段产生的。首先，将null事件添加到基于事件的数据以生成其他对抗事件。可以使用空事件的数量来控制扰动大小。其次，在基于梯度的攻击中将额外的对抗事件的位置和时间设置为误导DNN。我们的算法在N-CALTECH101数据集中实现了97.95 \％的攻击成功率。此外，与原始模型相比，对抗性训练模型提高了对抗事件数据的鲁棒性。

深度学习大大提高了单眼深度估计（MDE）的性能，这是完全基于视觉的自主驾驶（AD）系统（例如特斯拉和丰田）的关键组成部分。在这项工作中，我们对基于学习的MDE产生了攻击。特别是，我们使用基于优化的方法系统地生成隐形的物理对象贴片来攻击深度估计。我们通过面向对象的对抗设计，敏感的区域定位和自然风格的伪装来平衡攻击的隐身和有效性。使用现实世界的驾驶场景，我们评估了对并发MDE模型的攻击和AD的代表下游任务（即3D对象检测）。实验结果表明，我们的方法可以为不同的目标对象和模型生成隐形，有效和健壮的对抗贴片，并在物体检测中以1/1/的斑点检测到超过6米的平均深度估计误差和93％的攻击成功率（ASR）车辆后部9个。具有实际车辆的三个不同驾驶路线上的现场测试表明，在连续视频帧中，我们导致超过6米的平均深度估计误差，并将对象检测率从90.70％降低到5.16％。

深面识别（FR）在几个具有挑战性的数据集上取得了很高的准确性，并促进了成功的现实世界应用程序，甚至表现出对照明变化的高度鲁棒性，通常被认为是对FR系统的主要威胁。但是，在现实世界中，有限的面部数据集无法完全涵盖由不同的照明条件引起的照明变化。在本文中，我们从新角度（即对抗性攻击）研究对FR的照明的威胁，并确定一项新任务，即对对抗性的重视。鉴于面部图像，对抗性的重新获得旨在在欺骗最先进的深FR方法的同时产生自然重新的对应物。为此，我们首先提出了基于物理模型的对抗重新攻击（ARA），称为反照率基于反击的对抗性重新攻击（AQ-ARA）。它在物理照明模型和FR系统的指导下生成了自然的对抗光，并合成了对抗性重新重新确认的面部图像。此外，我们通过训练对抗性重新确定网络（ARNET）提出自动预测性的对抗重新攻击（AP-ARA），以根据不同的输入面自动以一步的方式自动预测对抗光，从而允许对效率敏感的应用。更重要的是，我们建议将上述数字攻击通过精确的重新确定设备将上述数字攻击转移到物理ARA（PHY-AARA）上，从而使估计的对抗照明条件在现实世界中可再现。我们在两个公共数据集上验证了三种最先进的深FR方法（即面部，街道和符号）的方法。广泛而有见地的结果表明，我们的工作可以产生逼真的对抗性重新贴心的面部图像，轻松地欺骗了fr，从而揭示了特定的光方向和优势的威胁。

通过采用深层CNN（卷积神经网络）和GCN（图卷积网络），最近对3D点云语义分割的研究努力取得了出色的表现。然而，这些复杂模型的鲁棒性尚未得到系统地分析。鉴于在许多安全关键型应用中应用了语义分割（例如，自主驾驶，地质感测），特别是填补这种知识差距，特别是这些模型在对抗性样本下的影响。虽然已经研究了针对点云的对抗攻击，但我们发现所有这些都是针对单一物体识别的，并且在点坐标上进行扰动。我们认为，基于坐标的扰动不太可能在物理世界的限制下实现。因此，我们提出了一种名为Colper的新的无色扰动方法，并将其定制为语义分割。通过评估室内数据集（S3DIS）和室外数据集（语义3D）对三点云分割模型（PointNet ++，Deepgcns和Randla-Net）进行评估，我们发现只有颜色的扰动足以显着降低分割精度和AIOU ，在目标和非目标攻击设置下。

With rapid progress and significant successes in a wide spectrum of applications, deep learning is being applied in many safety-critical environments. However, deep neural networks have been recently found vulnerable to well-designed input samples, called adversarial examples. Adversarial perturbations are imperceptible to human but can easily fool deep neural networks in the testing/deploying stage. The vulnerability to adversarial examples becomes one of the major risks for applying deep neural networks in safety-critical environments. Therefore, attacks and defenses on adversarial examples draw great attention. In this paper, we review recent findings on adversarial examples for deep neural networks, summarize the methods for generating adversarial examples, and propose a taxonomy of these methods. Under the taxonomy, applications for adversarial examples are investigated. We further elaborate on countermeasures for adversarial examples. In addition, three major challenges in adversarial examples and the potential solutions are discussed.

深度神经网络容易受到来自对抗性投入的攻击，并且最近，特洛伊木马误解或劫持模型的决定。我们通过探索有界抗逆性示例空间和生成的对抗网络内的自然输入空间来揭示有界面的对抗性实例 - 通用自然主义侵害贴片的兴趣类 - 我们呼叫TNT。现在，一个对手可以用一个自然主义的补丁来手臂自己，不太恶意，身体上可实现，高效 - 实现高攻击成功率和普遍性。 TNT是普遍的，因为在场景中的TNT中捕获的任何输入图像都将：i）误导网络（未确定的攻击）;或ii）迫使网络进行恶意决定（有针对性的攻击）。现在，有趣的是，一个对抗性补丁攻击者有可能发挥更大的控制水平 - 选择一个独立，自然的贴片的能力，与被限制为嘈杂的扰动的触发器 - 到目前为止只有可能与特洛伊木马攻击方法有可能干扰模型建设过程，以嵌入风险发现的后门;但是，仍然意识到在物理世界中部署的补丁。通过对大型视觉分类任务的广泛实验，想象成在其整个验证集50,000张图像中进行评估，我们展示了TNT的现实威胁和攻击的稳健性。我们展示了攻击的概括，以创建比现有最先进的方法实现更高攻击成功率的补丁。我们的结果表明，攻击对不同的视觉分类任务（CIFAR-10，GTSRB，PUBFIG）和多个最先进的深神经网络，如WieredEnet50，Inception-V3和VGG-16。