视力变压器由于其出色的性能而越来越多地嵌入工业系统中，但是它们的记忆力和力量要求使它们部署到边缘设备是一项艰巨的任务。因此，现在，模型压缩技术被广泛用于在边缘设备上部署模型，因为它们减少了资源需求并使模型推理非常快速有效。但是，从安全角度来看，它们的可靠性和鲁棒性是安全至关重要应用中的另一个主要问题。对抗性攻击就像ML算法的光学幻象一样，它们可能会严重影响模型的准确性和可靠性。在这项工作中，我们研究了对抗样品在SOTA视觉变压器模型上跨3个SOTA压缩版本的可传递性，并推断出不同压缩技术对对抗攻击的影响。

视觉变形金刚（VITS）处理将图像输入图像作为通过自我关注的斑块;比卷积神经网络（CNNS）彻底不同的结构。这使得研究Vit模型的对抗特征空间及其可转移性有趣。特别是，我们观察到通过常规逆势攻击发现的对抗性模式，即使对于大型Vit模型，也表现出非常低的黑箱可转移性。但是，我们表明这种现象仅是由于不利用VITS的真实表示潜力的次优攻击程序。深紫色由多个块组成，具有一致的架构，包括自我关注和前馈层，其中每个块能够独立地产生类令牌。仅使用最后一类令牌（传统方法）制定攻击并不直接利用存储在早期令牌中的辨别信息，从而导致VITS的逆势转移性差。使用Vit模型的组成性质，我们通过引入特定于Vit模型结构的两种新策略来增强现有攻击的可转移性。 （i）自我合奏：我们提出了一种通过将单vit模型解剖到网络的集合来找到多种判别途径的方法。这允许在每个VIT块处明确地利用特定于类信息。 （ii）令牌改进：我们建议改进令牌，以进一步增强每种Vit障碍的歧视能力。我们的令牌细化系统地将类令牌系统组合在补丁令牌中保留的结构信息。在一个视觉变压器中发现的分类器的集合中应用于此类精炼令牌时，对抗攻击具有明显更高的可转移性。

视觉变压器（VIT）在各种计算机视觉任务中的成功促进了该无卷积网络的不断增长。 VIT在图像贴片上工作的事实使其可能与拼图拼图解决的问题有关，这是一项经典的自我监督的任务，旨在重新排序洗牌的顺序图像贴片回到其自然形式。尽管它很简单，但已证明解决拼图拼图对使用卷积神经网络（CNN）（例如自我监督的特征表示学习，领域的概括和细粒度分类）的任务有帮助。在本文中，我们探索了解决拼图拼图作为图像分类的自我监督的辅助损失，名为Jigsaw-Vit。我们展示了两种修改，可以使拼图优于标准VIT：丢弃位置嵌入和随机掩盖斑块。但是很简单，我们发现拼图vit能够改善标准VIT的概括和鲁棒性，这通常是一种权衡。在实验上，我们表明，在ImageNet上的大规模图像分类中，添加拼图拼图分支比VIT提供了更好的概括。此外，辅助任务还提高了对动物-10n，食物101N和服装的嘈杂标签的鲁棒性，也可以提高对抗性示例。我们的实施可从https://yingyichen-cyy.github.io/jigsaw-vit/获得。

Recent increases in the computational demands of deep neural networks (DNNs) have sparked interest in efficient deep learning mechanisms, e.g., quantization or pruning. These mechanisms enable the construction of a small, efficient version of commercial-scale models with comparable accuracy, accelerating their deployment to resource-constrained devices. In this paper, we study the security considerations of publishing on-device variants of large-scale models. We first show that an adversary can exploit on-device models to make attacking the large models easier. In evaluations across 19 DNNs, by exploiting the published on-device models as a transfer prior, the adversarial vulnerability of the original commercial-scale models increases by up to 100x. We then show that the vulnerability increases as the similarity between a full-scale and its efficient model increase. Based on the insights, we propose a defense, $similarity$-$unpairing$, that fine-tunes on-device models with the objective of reducing the similarity. We evaluated our defense on all the 19 DNNs and found that it reduces the transferability up to 90% and the number of queries required by a factor of 10-100x. Our results suggest that further research is needed on the security (or even privacy) threats caused by publishing those efficient siblings.

视觉变压器（VITS）在一系列计算机视觉任务上表现出令人印象深刻的性能，但它们仍然遭受对抗的例子。 ％以与CNN类似的方式制作。在本文中，我们对变压器的对抗攻击应特别适合其架构，共同考虑斑块和自我关注，以实现高可转移性。更具体地说，我们介绍了一种双攻击框架，其中包含不关注（PNA）攻击和果末攻击，以改善对抗不同风格的对抗性样本的可转移性。我们表明，在背部衰退期间跳过关注的梯度可以产生具有高可转换性的对抗性示例。此外，通过优化在每个迭代的随机采样的斑块的随机采样子集产生的对抗扰动，该次迭代的成功率比使用所有补丁的攻击实现了更高的攻击成功率。我们评估攻击最先进的VITS，CNN和强大的CNNS的可转移性。这些实验的结果表明，所提出的双重攻击可以大大提高VITS与VITS之间的转移性。此外，所提出的方法可以容易地与现有的传输方法组合以提高性能。代码可在https://github.com/zhipeng-wei/pna-patchout获得。

Vision Transformer已成为计算机视觉中的新范式，表现出出色的性能，同时还具有昂贵的计算成本。图像令牌修剪是VIT压缩的主要方法之一，这是因为相对于令牌数的复杂性是二次的，而许多仅包含背景区域的令牌并不能真正促进最终预测。现有作品要么依赖其他模块来评分单个令牌的重要性，要么为不同的输入实例实施固定比率修剪策略。在这项工作中，我们提出了一个自适应的稀疏令牌修剪框架，成本最低。我们的方法是基于可学习的阈值，并利用多头自我注意力来评估令牌信息，但几乎没有其他操作。具体而言，我们首先提出了廉价的注意力重点加权阶级注意力评分机制。然后，将可学习的参数插入VIT作为阈值，以区分信息令牌和不重要的令牌。通过比较令牌注意分数和阈值，我们可以从层次上丢弃无用的令牌，从而加速推理。可学习的阈值在预算感知培训中进行了优化，以平衡准确性和复杂性，并为不同的输入实例执行相应的修剪配置。广泛的实验证明了我们方法的有效性。例如，我们的方法将DEIT-S的吞吐量提高了50％，并且TOP-1的准确性仅下降了0.2％，这比以前的方法在准确性和延迟之间取得了更好的权衡。

变压器出现为可视识别的强大工具。除了在广泛的视觉基准上展示竞争性能外，最近的作品还争辩说，变形金刚比卷曲神经网络（CNNS）更强大。令人惊讶的是，我们发现这些结论是从不公平的实验设置中得出的，其中变压器和CNN在不同的尺度上比较，并用不同的训练框架应用。在本文中，我们的目标是在变压器和CNN之间提供第一个公平和深入的比较，重点是鲁棒性评估。通过我们的统一培训设置，我们首先挑战以前的信念，使得在衡量对抗性鲁棒性时越来越多的CNN。更令人惊讶的是，如果他们合理地采用变形金刚的培训食谱，我们发现CNNS可以很容易地作为捍卫对抗性攻击的变形金刚。在关于推广样本的泛化的同时，我们显示了对（外部）大规模数据集的预训练不是对实现变压器来实现比CNN更好的性能的根本请求。此外，我们的消融表明，这种更强大的概括主要受到变压器的自我关注架构本身的影响，而不是通过其他培训设置。我们希望这项工作可以帮助社区更好地理解和基准变压器和CNN的鲁棒性。代码和模型在https://github.com/ytongbai/vits-vs-cnns上公开使用。

最近，视觉变压器（VIT）及其变体在各种计算机视觉任务中取得了有希望的表现。然而，VITS的高计算成本和培训数据要求将其应用程序限制在资源受限设置中。模型压缩是加快深度学习模型的有效方法，但压缩VITS的研究已经不太探索。许多以前的作品集中在减少令牌的数量。然而，这种攻击行会破坏VIT的空间结构，并且难以推广到下游任务中。在本文中，我们设计了统一的框架，用于对VITS及其变体的结构修剪，即升级Vits。我们的方法侧重于修剪所有VITS组件，同时保持模型结构的一致性。丰富的实验结果表明，我们的方法可以在压缩VITS和变体上实现高精度，例如，UP-DEIT-T在Imagenet上实现了75.79％的精度，这与Vanilla Deit-T以相同的计算成本优于3.59％。 UP-PVTV2-B0提高了PVTV2-B0的精度4.83％，以进行想象成分类。同时，上升VITS维护令牌表示的一致性，并在对象检测任务上提高一致的改进。

在本文中，我们通过利用视觉数据中的空间稀疏性提出了一种新的模型加速方法。我们观察到，视觉变压器中的最终预测仅基于最有用的令牌的子集，这足以使图像识别。基于此观察，我们提出了一个动态的令牌稀疏框架，以根据加速视觉变压器的输入逐渐和动态地修剪冗余令牌。具体而言，我们设计了一个轻量级预测模块，以估计给定当前功能的每个令牌的重要性得分。该模块被添加到不同的层中以层次修剪冗余令牌。尽管该框架的启发是我们观察到视觉变压器中稀疏注意力的启发，但我们发现自适应和不对称计算的想法可能是加速各种体系结构的一般解决方案。我们将我们的方法扩展到包括CNN和分层视觉变压器在内的层次模型，以及更复杂的密集预测任务，这些任务需要通过制定更通用的动态空间稀疏框架，并具有渐进性的稀疏性和非对称性计算，用于不同空间位置。通过将轻质快速路径应用于少量的特征，并使用更具表现力的慢速路径到更重要的位置，我们可以维护特征地图的结构，同时大大减少整体计算。广泛的实验证明了我们框架对各种现代体系结构和不同视觉识别任务的有效性。我们的结果清楚地表明，动态空间稀疏为模型加速提供了一个新的，更有效的维度。代码可从https://github.com/raoyongming/dynamicvit获得

Recently, neural networks purely based on attention were shown to address image understanding tasks such as image classification. These highperforming vision transformers are pre-trained with hundreds of millions of images using a large infrastructure, thereby limiting their adoption.In this work, we produce competitive convolution-free transformers by training on Imagenet only. We train them on a single computer in less than 3 days. Our reference vision transformer (86M parameters) achieves top-1 accuracy of 83.1% (single-crop) on ImageNet with no external data.More importantly, we introduce a teacher-student strategy specific to transformers. It relies on a distillation token ensuring that the student learns from the teacher through attention. We show the interest of this token-based distillation, especially when using a convnet as a teacher. This leads us to report results competitive with convnets for both Imagenet (where we obtain up to 85.2% accuracy) and when transferring to other tasks. We share our code and models.

普遍的对策扰动是图像不可思议的和模型 - 无关的噪声，当添加到任何图像时可以误导训练的深卷积神经网络进入错误的预测。由于这些普遍的对抗性扰动可以严重危害实践深度学习应用的安全性和完整性，因此现有技术使用额外的神经网络来检测输入图像源的这些噪声的存在。在本文中，我们展示了一种攻击策略，即通过流氓手段激活（例如，恶意软件，木马）可以通过增强AI硬件加速器级的对抗噪声来绕过这些现有对策。我们使用Conv2D功能软件内核的共同仿真和FuseSoC环境下的硬件的Verilog RTL模型的共同仿真，展示了关于几个深度学习模型的加速度普遍对抗噪声。

视觉变压器（VITS）已成为各种视觉任务的流行结构和优于卷积神经网络（CNNS）。然而，这种强大的变形金机带来了巨大的计算负担。而这背后的基本障碍是排气的令牌到令牌比较。为了缓解这一点，我们深入研究Vit的模型属性，观察到VITS表现出稀疏关注，具有高令牌相似性。这直观地向我们介绍了可行的结构不可知的尺寸，令牌编号，以降低计算成本。基于这一探索，我们为香草vits提出了一种通用的自我切片学习方法，即坐下。具体而言，我们首先设计一种新颖的令牌减肥模块（TSM），可以通过动态令牌聚集来提高VIT的推理效率。不同于令牌硬滴，我们的TSM轻轻地集成了冗余令牌变成了更少的信息，可以在不切断图像中的鉴别性令牌关系的情况下动态缩放视觉注意。此外，我们介绍了一种简洁的密集知识蒸馏（DKD）框架，其密集地以柔性自动编码器方式传送无组织的令牌信息。由于教师和学生之间的结构类似，我们的框架可以有效地利用结构知识以获得更好的收敛性。最后，我们进行了广泛的实验来评估我们的坐姿。它展示了我们的方法可以通过1.7倍加速VITS，其精度下降可忽略不计，甚至在3.6倍上加速VITS，同时保持其性能的97％。令人惊讶的是，通过简单地武装LV-VIT与我们的坐线，我们在想象中实现了新的最先进的表现，超过了最近文学中的所有CNN和VITS。

人工智能（AI）软件中深度学习模型的规模正在迅速增加，这阻碍了对资源限制设备（例如智能手机）的大规模部署。为了减轻此问题，AI软件压缩起着至关重要的作用，旨在压缩模型大小的同时保持高性能。但是，大型模型中的固有缺陷可以由压缩后遗传。攻击者很容易利用此类缺陷，因为压缩模型通常部署在大量设备中而没有充分保护的设备中。在本文中，我们试图从安全性的合作观点来解决安全模型压缩问题。具体而言，受到软件工程中测试驱动的开发（TDD）范式的启发，我们提出了一个称为SafeCompress的测试驱动的稀疏训练框架。通过模拟攻击机制作为安全测试，SafeCompress可以在动态稀疏训练范式之后自动将大型模型压缩到一个小模型中。此外，考虑到代表性攻击，即成员推理攻击（MIA），我们开发了一种混凝土安全模型压缩机制，称为MIA-SAFECSPRASS。进行了广泛的实验，以评估用于计算机视觉和自然语言处理任务的五个数据集上的MIA量压缩。结果验证了我们方法的有效性和概括。我们还讨论了如何将SafeCompress适应除MIA以外的其他攻击，并证明了SafCompress的灵活性。

Recently, neural networks purely based on attention were shown to address image understanding tasks such as image classification. These highperforming vision transformers are pre-trained with hundreds of millions of images using a large infrastructure, thereby limiting their adoption.In this work, we produce competitive convolutionfree transformers trained on ImageNet only using a single computer in less than 3 days. Our reference vision transformer (86M parameters) achieves top-1 accuracy of 83.1% (single-crop) on ImageNet with no external data.We also introduce a teacher-student strategy specific to transformers. It relies on a distillation token ensuring that the student learns from the teacher through attention, typically from a convnet teacher. The learned transformers are competitive (85.2% top-1 acc.) with the state of the art on ImageNet, and similarly when transferred to other tasks. We will share our code and models.

最近的视觉变压器（VIT）的进步已经证明了其在图像分类中的令人印象深刻的性能，这使其成为卷积神经网络（CNN）的有希望的替代品。与CNN不同，VIT表示作为图像斑块序列的输入图像。 PATCH-WISE输入图像表示提出了以下问题：与CNN相比，当各个输入图像贴片扰乱自然损坏或对抗性扰动时，如何进行VIT vit表现在这项工作中，我们研究了视觉变形金刚的稳健性，以修补扰动。令人惊讶的是，我们发现视觉变压器对自然腐蚀的斑块比CNN更腐蚀，而它们更容易受到对抗性补丁的影响。此外，我们进行广泛的定性和定量实验，以了解修补扰动的鲁棒性。我们透露，Vit对天然腐蚀斑块的更强烈的稳健性以及对抗对抗性斑块的更高脆弱性都是由注意机制引起的。具体而言，注意模型可以通过有效地忽略自然腐蚀斑块来帮助改善视觉变压器的稳健性。然而，当视力变压器被对手攻击时，注意机制可以很容易地愚弄更多地关注对抗扰动的斑块并导致错误。

最近，视觉变压器（VIT）在计算机视野中连续建立了新的里程碑，而高计算和内存成本使其在工业生产中的传播困难。修剪是一种用于硬件效率的传统模型压缩范例，已广泛应用于各种DNN结构。尽管如此，它含糊不清，如何在vit结构上进行独家修剪。考虑三个关键点：结构特征，VITS的内部数据模式和相关边缘设备部署，我们利用输入令牌稀疏性并提出了一种计算感知软修剪框架，可以在扁平的vanilla变压器上设置。和CNN型结构，例如基于池的Vit（坑）。更具体地说，我们设计了一种基于动态关注的多头令牌选择器，它是一个轻量级模块，用于自适应实例 - 明智令牌选择。我们进一步引入了一种软修剪技术，它将选择器模块生成的较少的信息令牌集成到将参与后续计算的包令牌，而不是完全丢弃。我们的框架通过我们所提出的计算感知培训策略，我们通过特定边缘设备的准确性和计算限制之间的权衡。实验结果表明，我们的框架显着降低了VIT的计算成本，同时在图像分类上保持了可比性。此外，我们的框架可以保证所识别的模型，以满足移动设备和FPGA的资源规范，甚至在移动平台上实现DEIT-T的实时执行。例如，我们的方法在移动设备上减少了DEIT-T至26毫秒的延迟（26％$ \ SIM 41％的41％），在移动设备上，在0.25％$ \ sim $ 4％的ImageNet上的前1个精度高出4％。我们的代码即将发布。

The authors thank Nicholas Carlini (UC Berkeley) and Dimitris Tsipras (MIT) for feedback to improve the survey quality. We also acknowledge X. Huang (Uni. Liverpool), K. R. Reddy (IISC), E. Valle (UNICAMP), Y. Yoo (CLAIR) and others for providing pointers to make the survey more comprehensive.

尽管大量研究专门用于变形检测，但大多数研究都无法推广其在训练范式之外的变形面。此外，最近的变体检测方法非常容易受到对抗攻击的影响。在本文中，我们打算学习一个具有高概括的变体检测模型，以对各种形态攻击和对不同的对抗攻击的高度鲁棒性。为此，我们开发了卷积神经网络（CNN）和变压器模型的合奏，以同时受益于其能力。为了提高整体模型的鲁棒精度，我们采用多扰动对抗训练，并生成具有高可传递性的对抗性示例。我们详尽的评估表明，提出的强大合奏模型将概括为几个变形攻击和面部数据集。此外，我们验证了我们的稳健集成模型在超过最先进的研究的同时，对几次对抗性攻击获得了更好的鲁棒性。

随着变压器作为语言处理的标准及其在计算机视觉方面的进步，参数大小和培训数据的数量相应地增长。许多人开始相信，因此，变形金刚不适合少量数据。这种趋势引起了人们的关注，例如：某些科学领域中数据的可用性有限，并且排除了该领域研究资源有限的人。在本文中，我们旨在通过引入紧凑型变压器来提出一种小规模学习的方法。我们首次表明，具有正确的尺寸，卷积令牌化，变压器可以避免在小数据集上过度拟合和优于最先进的CNN。我们的模型在模型大小方面具有灵活性，并且在获得竞争成果的同时，参数可能仅为0.28亿。当在CIFAR-10上训练Cifar-10，只有370万参数训练时，我们的最佳模型可以达到98％的准确性，这是与以前的基于变形金刚的模型相比，数据效率的显着提高，比其他变压器小于10倍，并且是15％的大小。在实现类似性能的同时，重新NET50。 CCT还表现优于许多基于CNN的现代方法，甚至超过一些基于NAS的方法。此外，我们在Flowers-102上获得了新的SOTA，具有99.76％的TOP-1准确性，并改善了Imagenet上现有基线（82.71％精度，具有29％的VIT参数）以及NLP任务。我们针对变压器的简单而紧凑的设计使它们更可行，可以为那些计算资源和/或处理小型数据集的人学习，同时扩展了在数据高效变压器中的现有研究工作。我们的代码和预培训模型可在https://github.com/shi-labs/compact-transformers上公开获得。

在本文中，我们询问视觉变形金刚（VIT）是否可以作为改善机器学习模型对抗逃避攻击的对抗性鲁棒性的基础结构。尽管较早的作品集中在改善卷积神经网络上，但我们表明VIT也非常适合对抗训练以实现竞争性能。我们使用自定义的对抗训练配方实现了这一目标，该配方是在Imagenet数据集的一部分上使用严格的消融研究发现的。与卷积相比，VIT的规范培训配方建议强大的数据增强，部分是为了补偿注意力模块的视力归纳偏置。我们表明，该食谱在用于对抗训练时可实现次优性能。相比之下，我们发现省略所有重型数据增强，并添加一些额外的零件（$ \ varepsilon $ -Warmup和更大的重量衰减），从而大大提高了健壮的Vits的性能。我们表明，我们的配方在完整的Imagenet-1k上概括了不同类别的VIT体系结构和大规模模型。此外，调查了模型鲁棒性的原因，我们表明，在使用我们的食谱时，在训练过程中产生强烈的攻击更加容易，这会在测试时提高鲁棒性。最后，我们通过提出一种量化对抗性扰动的语义性质并强调其与模型的鲁棒性的相关性来进一步研究对抗训练的结果。总体而言，我们建议社区应避免将VIT的规范培训食谱转换为在对抗培训的背景下进行强大的培训和重新思考常见的培训选择。