Highlight

• 我们首次实现通过边界框外对抗补丁的目标性攻击

• 提出多任务协同并行优化框架显著提升攻击成功率

• 实验证实该方法在数字/物理世界均有效，且对距离/角度/设备具有鲁棒性

Object detection

目标检测是计算机视觉领域的核心任务。近年来随着深度学习发展，以Yolo系列为代表的检测器取得突破性进展。Yolov8采用无锚框（anchor-free）设计和解耦头（decoupled head）技术，Yolov9引入更高效的网络架构，而Yolov11则通过多尺度预测机制显著提升不同尺寸目标的检测能力。

Problem Definition

本研究聚焦物理世界中对目标检测模型的目标性攻击。为明确术语，我们将图像中实际存在的被攻击对象定义为受害者目标（victim object），而攻击者试图诱导的错误检测输出（包括误分类标签和回归边界框）定义为伪造目标（spoofed object）。关键挑战在于如何通过边界框外的对抗补丁实现这两个目标的关联映射。

Experimental Setup

数据集与模型：实验基于COCO数据集，选取停止标志（stop sign）作为受害者目标。构建包含868张停止标志图像的子集，其中608张用于训练对抗补丁，260张用于评估。测试模型包括Yolov8、Yolov9和Yolov11，均采用COCO预训练权重。物理测试中，打印生成的对抗补丁并部署在目标物体周围，验证不同视角（15°-75°）和距离（2-10米）下的攻击效果。

Conclusion

本文开创性地研究了通过边界框外对抗补丁实施目标性物理攻击的难题。提出的双路径优化框架：（1）目标感知消除路径：结合全局语义扰动和局部特征距离最大化（L_elim = αL_sem + βL_feat）；（2）错误感知重构路径：通过空间关联损失（L_spoof）强制模型建立补丁-目标的错误映射。实验表明该方法在数字和物理场景均能稳定诱导预设的误分类（如stop sign→person），为自动驾驶安全研究提供了重要基准。