Take Fake as Real: Realistic-like Robust Black-box Adversarial Attack to Evade AIGC Detection

要約

GAN と拡散モデルに基づく AI 生成コンテンツ (AIGC) 検出のセキュリティは、マルチメディア コンテンツの信頼性に密接に関係しています。
悪意のある敵対的な攻撃は、こうした開発中の AIGC 検出を回避する可能性があります。
しかし、既存の敵対的攻撃のほとんどは、GAN で生成された顔画像検出のみに焦点を当てており、マルチクラスの自然画像や拡散ベースの検出器に対して効果を発揮するのに苦労しており、可視性が劣っています。
このギャップを埋めるために、私たちはまず AIGC 検出器の脆弱性の詳細な分析を実施し、異なる後処理に対する検出器の脆弱性が異なるという特徴を発見しました。
次に、現実世界のシナリオにおける検出器の不確実性を考慮し、その発見に基づいて、後処理融合最適化を備えた現実的な堅牢なブラックボックス敵対的攻撃 (R$^2$BA) を提案します。
一般的な摂動とは異なり、R$^2$BA は現実世界の後処理、つまりガウスぼかし、JPEG 圧縮、ガウス ノイズ、ライト スポットを使用して敵対的な例を生成します。
具体的には、慣性減衰を伴う確率的粒子群アルゴリズムを使用して、後処理の融合強度を最適化し、検出器の決定境界を探索します。
R$^2$BA は、検出器の偽の確率に基づいて、検出器の脆弱性/検出器の堅牢な後処理強度を強化/弱め、敵対性と不可視性のバランスをとります。
一般的な/商用 AIGC 検出器とデータセットに関する広範な実験により、R$^2$BA が GAN ベースおよび拡散ベースのケースにおいて優れた検出防止性能、優れた不可視性、および強力な堅牢性を示すことが実証されました。
最先端のホワイトボックス攻撃とブラックボックス攻撃と比較して、R$^2$BA は、元のシナリオと堅牢なシナリオの下でそれぞれ検出防止パフォーマンスが 15% と 21% という大幅な向上を示しており、有益な洞察を提供します。
現実世界のアプリケーションにおける AIGC 検出のセキュリティ。

要約(オリジナル)

The security of AI-generated content (AIGC) detection based on GANs and diffusion models is closely related to the credibility of multimedia content. Malicious adversarial attacks can evade these developing AIGC detection. However, most existing adversarial attacks focus only on GAN-generated facial images detection, struggle to be effective on multi-class natural images and diffusion-based detectors, and exhibit poor invisibility. To fill this gap, we first conduct an in-depth analysis of the vulnerability of AIGC detectors and discover the feature that detectors vary in vulnerability to different post-processing. Then, considering the uncertainty of detectors in real-world scenarios, and based on the discovery, we propose a Realistic-like Robust Black-box Adversarial attack (R$^2$BA) with post-processing fusion optimization. Unlike typical perturbations, R$^2$BA uses real-world post-processing, i.e., Gaussian blur, JPEG compression, Gaussian noise and light spot to generate adversarial examples. Specifically, we use a stochastic particle swarm algorithm with inertia decay to optimize post-processing fusion intensity and explore the detector’s decision boundary. Guided by the detector’s fake probability, R$^2$BA enhances/weakens the detector-vulnerable/detector-robust post-processing intensity to strike a balance between adversariality and invisibility. Extensive experiments on popular/commercial AIGC detectors and datasets demonstrate that R$^2$BA exhibits impressive anti-detection performance, excellent invisibility, and strong robustness in GAN-based and diffusion-based cases. Compared to state-of-the-art white-box and black-box attacks, R$^2$BA shows significant improvements of 15% and 21% in anti-detection performance under the original and robust scenario respectively, offering valuable insights for the security of AIGC detection in real-world applications.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google