本文結(jié)合三篇最新的論文具體討論計算機視覺領(lǐng)域中的物理攻擊及檢測方法，包括視覺領(lǐng)域和音頻領(lǐng)域。

0、引言
對抗性攻擊的概念首先由 Goodfellow 等人提出 [6]，近年來，這一問題引起了越來越多研究人員的關(guān)注，對抗性攻擊的方法也逐漸從算法領(lǐng)域進入到物理世界，出現(xiàn)了物理對抗性攻擊。文獻(xiàn)[1] 中首次提出了利用掩模方法將對抗性擾動集中到一個小區(qū)域，并對帶有涂鴉的真實交通標(biāo)志實施物理攻擊。與基于噪聲的對抗性攻擊相比，物理攻擊降低了攻擊難度，進一步損害了深度學(xué)習(xí)技術(shù)的實用性和可靠性。
我們都知道，深度學(xué)習(xí)系統(tǒng)在計算機視覺、語音等多媒體任務(wù)上都取得了非常好的效果，在一些應(yīng)用場景中甚至獲得了可以與人類相媲美的性能?；谶@些成功的研究基礎(chǔ)，越來越多的深度學(xué)習(xí)系統(tǒng)被應(yīng)用于汽車、無人機和機器人等物理系統(tǒng)的控制。但是，隨著物理攻擊方法的出現(xiàn)，這些對視覺、語音等多媒體信息輸入進行的篡改會導(dǎo)致系統(tǒng)出現(xiàn)錯誤行為，進而造成嚴(yán)重的后果。本文重點關(guān)注的就是針對多媒體領(lǐng)域的深度學(xué)習(xí)系統(tǒng)的物理攻擊問題。
以 [1] 中給出的針對視覺領(lǐng)域的攻擊為例，通過向輸入數(shù)據(jù)注入特定的擾動，對抗性攻擊可以誤導(dǎo)深度學(xué)習(xí)系統(tǒng)的識別結(jié)果。通過物理攻擊性方法，對抗性擾動可以集中到一個小區(qū)域并附著在真實物體上，這很容易威脅到物理世界中的深度學(xué)習(xí)識別系統(tǒng)。圖 1 給出一個應(yīng)對物理攻擊的實際案例。圖 1 中左圖顯示了一個關(guān)于交通標(biāo)志檢測的物理對抗樣本。當(dāng)在原始停車標(biāo)志上附加一個對抗補丁時，交通標(biāo)志檢測系統(tǒng)將被誤導(dǎo)輸出限速標(biāo)志的錯誤識別結(jié)果。圖 1 右圖展示了交通標(biāo)志對抗性攻擊的自我驗證過程。對于每張輸入圖像，經(jīng)過一次 CNN 推理后，驗證階段將定位重要的激活源（綠圈），并根據(jù)預(yù)測結(jié)果計算出輸入語義與預(yù)期語義模式的不一致性（右圈）。一旦不一致性超過預(yù)定的閾值，CNN 將進行數(shù)據(jù)恢復(fù)過程以恢復(fù)輸入圖像。關(guān)于這一過程，我們會在后面詳細(xì)解釋。
圖 1. 交通標(biāo)志的物理對抗性攻擊[2]
圖 2 給出一個典型的音頻識別過程和相應(yīng)的物理對抗性攻擊。首先，提取音頻波形的梅爾倒譜系數(shù) MeI-Freguency CeptraI Coefficients (MFCC) 特征。然后利用 CNN 來實現(xiàn)聲學(xué)特征識別，從而獲得候選音素。最后，應(yīng)用詞庫和語言模型得到識別結(jié)果 "open"。將對抗性噪聲注入到原始輸入波形中時，最終的識別結(jié)果會被誤導(dǎo)為 "close"。
圖 2. 音頻識別和物理對抗性攻擊過程
我們在這篇文章中結(jié)合三篇最新的論文具體討論計算機視覺領(lǐng)域中的物理攻擊及檢測方法，包括視覺領(lǐng)域和音頻領(lǐng)域。首先，我們介紹 Kevin Eykholt 等在 CVPR  2018 上發(fā)表的關(guān)于生成魯棒物理攻擊的工作，其主要目的是生成對觀察攝像機的距離和角度的巨大變化具有很強的適應(yīng)性的物理擾動攻擊。然后，第二篇論文提出了一個針對圖像和音頻識別應(yīng)用的物理對抗性攻擊的 CNN 防御方法。最后，第三篇文章聚焦于圖像的局部物理攻擊問題，即將對手區(qū)域限制在圖像的一小部分，例如 “對手補丁” 攻擊：

• Robust Physical-World Attacks on Deep Learning Visual Classification，CVPR 2018

• LanCe: A Comprehensive and Lightweight CNN Defense Methodology against Physical Adversarial Attacks on Embedded Multimedia Applications，ASP-DAC 2020

• Chou E , F Tramèr, Pellegrino G . SentiNet: Detecting Physical Attacks Against Deep Learning Systems. PrePrint 2020. https://arxiv.org/abs/1812.00292

1、針對深度學(xué)習(xí)視覺分類任務(wù)的魯棒物理攻擊[1]

這篇文章重點關(guān)注的是如何對計算機視覺任務(wù)的深度學(xué)習(xí)方法進行魯棒的物理攻擊，是從攻擊角度進行的分析。作者具體選擇了道路標(biāo)志分類作為目標(biāo)研究領(lǐng)域。
生成魯棒的物理攻擊所面臨的的主要挑戰(zhàn)是環(huán)境變異性。對于本文選擇的應(yīng)用領(lǐng)域，動態(tài)環(huán)境變化具體是指觀察攝像機的距離和角度。此外，生成物理攻擊還存在其他實用性的挑戰(zhàn)：(1) 數(shù)字世界的擾動幅度可能非常小，由于傳感器的不完善，相機很可能無法感知它們。(2)構(gòu)建能夠修改背景的魯棒性攻擊是非常困難的，因為真實的物體取決于視角的不同可以有不同的背景。(3)具體制造攻擊的過程（如擾動的打?。┦遣煌晟频?。在上述挑戰(zhàn)的啟發(fā)下，本文提出了 Robust Physical Perturbations（RP2）--- 一種可以產(chǎn)生對觀察攝像機的廣泛變化的距離和角度魯棒的擾動方法。本文目標(biāo)是從攻擊角度進行研究，探討是否能夠針對現(xiàn)實世界中的物體創(chuàng)建強大的物理擾動，使得即使是在一系列不同的物理條件下拍攝的圖像，也會誤導(dǎo)分類器做出錯誤的預(yù)測。
1.1 物理世界的挑戰(zhàn)
對物體的物理攻擊必須能夠在不斷變化的條件下存在，并能有效地欺騙分類器。本文具體圍繞所選擇的道路標(biāo)志分類的例子來討論這些條件。本文的研究內(nèi)容可以應(yīng)用于自動駕駛汽車和其他安全敏感領(lǐng)域，而本文分析的這些條件的子集也可以適用于其他類型的物理學(xué)習(xí)系統(tǒng)，例如無人機和機器人。
為了成功地對深度學(xué)習(xí)分類器進行物理攻擊，攻擊者應(yīng)該考慮到下述幾類可能會降低擾動效果的物理世界變化。

• 環(huán)境條件。自主車輛上的攝像頭與路標(biāo)的距離和角度不斷變化。獲取到的被送入分類器的圖像是在不同的距離和角度拍攝的。因此，攻擊者在路標(biāo)上添加的任何擾動都必須能夠抵抗圖像的這些轉(zhuǎn)換。除角度和距離外，其他環(huán)境因素還包括照明 / 天氣條件的變化以及相機上或路標(biāo)上存在的碎片。

• 空間限制。目前專注于數(shù)字圖像的算法會將對抗性擾動添加到圖像的所有部分，包括背景圖像。然而，對于實體路牌，攻擊者并不能操縱背景圖像。此外，攻擊者也不能指望有一個固定的背景圖像，因為背景圖像會根據(jù)觀看攝像機的距離和角度而變化。

• 不易察覺性的物理限制。目前對抗性深度學(xué)習(xí)算法的一個優(yōu)點是，它們對數(shù)字圖像的擾動往往非常小，以至于人類觀察者幾乎無法察覺。然而，當(dāng)把這種微小的擾動遷移到現(xiàn)實世界時，我們必須確保攝像機能夠感知這些擾動。因此，對不可察覺的擾動是有物理限制的，并且取決于傳感硬件。

• 制造誤差。為了實際制造出計算得到的擾動，所有的擾動值都必須是可以在現(xiàn)實世界中復(fù)制實現(xiàn)的。此外，即使一個制造設(shè)備，如打印機，確實能夠產(chǎn)生某些顏色，但也會有一些復(fù)制誤差。

1.2 生成魯棒的物理擾動
作者首先分析不考慮其它物理條件的情況下生成單一圖像擾動的優(yōu)化方法，然后再考慮在出現(xiàn)上述物理世界挑戰(zhàn)的情況下如何改進算法以生成魯棒的物理擾動。
單一圖像優(yōu)化問題表述為：在輸入 x 中加入擾動δ，使擾動后的實例 x’=x+δ能夠被目標(biāo)分類器 f_θ(·)錯誤分類：

其中，H 為選定的距離函數(shù)，y * 為目標(biāo)類別。為了有效解決上述約束性優(yōu)化問題，作者利用拉格朗日松弛形式重新表述上式：

其中，J(·,·)為損失函數(shù)，其作用是衡量模型的預(yù)測和目標(biāo)類別標(biāo)簽 y * 之間的差異。λ為超參數(shù)，用于控制失真的正則化水平。作者將距離函數(shù) H 表征為 ||δ||_p，即δ的 Lp 范數(shù)。
接下來，作者具體討論如何修改目標(biāo)函數(shù)以考慮物理環(huán)境條件的影響。首先，對包含目標(biāo)對象 o 的圖像在物理和數(shù)字變換下的分布進行建模 X^V 。我們從 X^V 中抽出不同的實例 x_i。一個物理擾動只能添加到 x_i 中的特定對象 o。具體到路標(biāo)分類任務(wù)中，我們計劃控制的對象 o 是停車標(biāo)志。
為了更好地捕捉變化的物理條件的影響，作者通過生成包含實際物理條件變化的實驗數(shù)據(jù)以及合成轉(zhuǎn)換，從 X^V 中對實例 x_i 進行采樣。圖 3 中給出了以道路標(biāo)識為例的魯棒物理攻擊（Robust Physical Perturbations ，RP2）過程示例。
圖 3. RP2 示例。輸入一個目標(biāo)停止標(biāo)志。RP2 從一個模擬物理動態(tài)的分布中取樣（在本例中是不同的距離和角度），并使用一個掩模將計算出的擾動投射到一個類似于涂鴉的形狀上。攻擊者打印出所產(chǎn)生的擾動，并將其貼在目標(biāo)停止標(biāo)志上
本文所討論的道路標(biāo)志的物理條件涉及在各種條件下拍攝道路標(biāo)志的圖像，如改變距離、角度和光照等。而對于合成轉(zhuǎn)換，作者隨機裁剪圖像中的物體，改變其亮度，并增加空間變換以模擬其他可能的條件。為了確保擾動只適用于目標(biāo)對象的表面區(qū)域 o（考慮到空間限制和對不可知性的物理限制），作者引入了一個掩模。該掩模的作用是將計算出的擾動投射到物體表面的一個物理區(qū)域（如路標(biāo)）。除了實現(xiàn)空間定位外，掩模還有助于生成對人類觀察者來說可見但不明顯的擾動。為了做到這一點，攻擊者可以將掩模塑造得像一個涂鴉—- 一種在大街上很常見的破壞行為。從形式上看，將擾動掩模表征為一個矩陣 M_x，其尺寸與路標(biāo)分類器的輸入尺寸相同。M_x 在沒有添加擾動的區(qū)域為“0”，在優(yōu)化期間添加擾動的區(qū)域中為“1”。作者表示，在他們進行實驗的過程中發(fā)現(xiàn)掩模的位置對攻擊的有效性是有影響的。因此，作者假設(shè)，從分類的角度來看物體的物理特征有強有弱，因此，可以將掩模定位在攻擊薄弱的地方。具體來說，作者使用下述方法來發(fā)現(xiàn)掩模位置。(1) 使用 L1 正則化計算擾動，并使用占據(jù)整個道路標(biāo)志表面區(qū)域的掩模。L1 使優(yōu)化器傾向于稀疏的擾動向量，因此將擾動集中在最脆弱的區(qū)域。對所產(chǎn)生的擾動進行可視化處理，為掩模的放置位置提供指導(dǎo)。(2) 使用 L2 重新計算擾動，并將掩模定位在先前步驟中確定的脆弱區(qū)域上。
考慮到在實際應(yīng)用中會存在制造誤差，作者在目標(biāo)函數(shù)中增加了一個額外的項，該項用來模擬打印機的顏色復(fù)制誤差。給定一組可打印的顏色（RGB 三元組）P 和一組在擾動中使用的、需要在物理世界中打印出來的（唯一的）RGB 三元組 R(δ)，利用下式計算不可打印性得分 non-printability score (NPS)：

基于上述討論，本文最終的魯棒空間約束擾動優(yōu)化為：

這里我們用函數(shù) T_i( )來表示對齊函數(shù)，它將物體上的變換映射到擾動的變換上。
最后，攻擊者打印出優(yōu)化結(jié)果，剪下擾動(M_x)，并將其放到目標(biāo)對象 o 上。
1.3 實驗分析
實驗構(gòu)建了兩個用于路標(biāo)分類的分類器，執(zhí)行的是標(biāo)準(zhǔn)的裁剪 - 重新確定大小 - 分類的任務(wù)流程。第一個分類器 LISA-CNN 對應(yīng)的實驗訓(xùn)練圖像來自于 LISA，一個包含 47 個不同道路標(biāo)志的美國交通標(biāo)志數(shù)據(jù)集。不過，這個數(shù)據(jù)集并不平衡，導(dǎo)致不同標(biāo)志的表述有很大差異。為了應(yīng)對這個問題，作者根據(jù)訓(xùn)練實例的數(shù)量，選擇了 17 個最常見的標(biāo)志。實驗中使用的深度學(xué)習(xí) LISA-CNN 的架構(gòu)由三個卷積層和一個 FC 層組成。它在測試集上的準(zhǔn)確度為 91%。
第二個分類器是 GTSRB-CNN，它是在德國交通標(biāo)志識別基準(zhǔn)（GTSRB）上訓(xùn)練得到的。深度學(xué)習(xí)方法使用了一個公開的多尺度 CNN 架構(gòu)，該架構(gòu)在路標(biāo)識別方面表現(xiàn)良好。由于作者在實際實驗中無法獲得德國的停車標(biāo)志，因此使用 LISA 中的美國停車標(biāo)志圖像替換了 GTSRB 的訓(xùn)練、驗證和測試集中的德國停車標(biāo)志。GTSRB-CNN 在測試集上準(zhǔn)確度為 95.7%。當(dāng)在作者自己構(gòu)建的 181 個停車標(biāo)志圖像上評估 GTSRB-CNN 時，它的準(zhǔn)確度為 99.4%。
作者表示，據(jù)他所知，目前還沒有評估物理對抗性擾動的標(biāo)準(zhǔn)化方法。在本實驗中，作者主要考慮角度和距離因素，因為它們是本文所選的用例中變化最快的元素。靠近標(biāo)志的車輛上的相機以固定的時間間隔拍攝一系列圖像。這些圖像的拍攝角度和距離不同，因此可以改變?nèi)魏翁囟▓D像中的細(xì)節(jié)數(shù)量。任何成功的物理擾動必須能夠在一定的距離和角度范圍內(nèi)引起有針對性的錯誤分類，因為車輛在發(fā)出控制器動作之前，可能會對視頻中的一組幀（圖像）進行投****確定。在該實驗中沒有明確控制環(huán)境光線，從實驗數(shù)據(jù)可以看出，照明從室內(nèi)照明到室外照明都有變化。本文實驗設(shè)計借鑒物理科學(xué)的標(biāo)準(zhǔn)做法，將上述物理因素囊括在一個由受控的實驗室測試和現(xiàn)場測試組成的兩階段評估中。
靜態(tài)（實驗室）測試。主要涉及從靜止的、固定的位置對物體的圖像進行分類。
1. 獲得一組干凈的圖像 C 和一組在不同距離、不同角度的對抗性擾動圖像。使用 c^(d,g)表示從距離 d 和角度 g 拍攝的圖像。攝像機的垂直高度應(yīng)保持大致不變。當(dāng)汽車轉(zhuǎn)彎、改變車道或沿著彎曲的道路行駛時，攝像機相對于標(biāo)志的角度通常會發(fā)生變化。2. 用以下公式計算物理擾動的攻擊成功率：

其中，d 和 g 表示圖像的相機距離和角度，y 是地面真值，y 是目標(biāo)攻擊類別。
注意，只有當(dāng)具有相同相機距離和角度的原始圖像 c 能夠正確分類時，引起錯誤分類的圖像 A(c)才被認(rèn)為是成功的攻擊，這就確保了錯誤分類是由添加的擾動而不是其他因素引起的。
駕車（現(xiàn)場）測試。作者在一個移動的平臺上放置一個攝像頭，并在真實的駕駛速度下獲取數(shù)據(jù)。在本文實驗中，作者使用的是一個安裝在汽車上的智能手機攝像頭。
1. 在距離標(biāo)志約 250 英尺處開始錄制視頻。實驗中的駕駛軌道是直的，沒有彎道。以正常的駕駛速度駛向標(biāo)志，一旦車輛通過標(biāo)志就停止記錄。實驗中，速度在 0 英里 / 小時和 20 英里 / 小時之間變化。這模擬了人類司機在大城市中接近標(biāo)志的情況。2. 對 "Clean" 標(biāo)志和施加了擾動的標(biāo)志按上述方法進行錄像，然后應(yīng)用公式計算攻擊成功率，這里的 C 代表采樣的幀。
由于性能限制，自主車輛可能不會對每一幀進行分類，而是對每 j 個幀進行分類，然后進行簡單的多數(shù)投****。因此，我們面臨的問題是確定幀（j）的選擇是否會影響攻擊的準(zhǔn)確性。在本文實驗中使用 j = 10，此外，作者還嘗試了 j=15。作者表示，這兩種取值情況下沒有觀察到攻擊成功率的任何明顯變化。作者推斷，如果這兩種類型的測試都能產(chǎn)生較高的成功率，那么在汽車常見的物理條件下，該攻擊很可能是成功的。
1.3.1 LISA-CNN 的實驗結(jié)果
作者通過在 LISA-CNN 上生成三種類型的對抗性示例來評估算法的有效性（測試集上準(zhǔn)確度為 91%）。表 1 給出了實驗中用到的靜止的攻擊圖像的樣本示例。
表 1. 針對 LISA-CNN 和 GTSRB-CNN 的物理對抗性樣本示例
對象受限的海報打印攻擊（Object-Constrained Poster-Printing Attacks）。實驗室使用的是 Kurakin 等人提出的攻擊方法[4]。這兩種攻擊方法的關(guān)鍵區(qū)別在于，在本文攻擊中，擾動被限制在標(biāo)志的表面區(qū)域，不包括背景，并且對大角度和距離的變化具有魯棒性。根據(jù)本文的評估方法，在實驗 100% 的圖像中停車標(biāo)志都被錯誤地歸類為攻擊的目標(biāo)類別（限速 45）。預(yù)測被操縱的標(biāo)志為目標(biāo)類別的平均置信度為 80.51%（表 2 的第二列）。
貼紙攻擊（Sticker Attacks），作者還展示了通過將修改限制在類似涂鴉或藝術(shù)效果的區(qū)域中，以貼紙的形式產(chǎn)生物理擾動的有效性。表 1 的第四列和第五列給出了這類圖像樣本，表 2（第四列和第六列）給出了實驗成功率與置信度。在靜止?fàn)顟B(tài)下，涂鴉貼紙攻擊達(dá)到了 66.67% 的定向攻擊成功率，偽裝藝術(shù)效果貼紙攻擊則達(dá)到了 100% 的定向攻擊成功率。
表 2. 在 LISA-CNN 上使用海報印刷的停車標(biāo)志牌（微小攻擊）和真正的停車標(biāo)志牌（偽裝的涂鴉攻擊，偽裝的藝術(shù)效果攻擊）的有針對性的物理擾動實驗結(jié)果。對于每幅圖像，都顯示了前兩個標(biāo)簽和它們相關(guān)的置信度值。錯誤分類的目標(biāo)是限速 45。圖例：SL45 = 限速 45，STP = 停車，YLD = 讓步，ADL = 增加車道，SA = 前方信號，LE = 車道盡頭
作者還對停車標(biāo)志的擾動進行了駕車測試。在基線測試中，從一輛行駛中的車輛上記錄了兩段清潔停車標(biāo)志的連續(xù)視頻，在 k = 10 時進行幀抓取，并裁剪標(biāo)志。此時，所有幀中的停止標(biāo)志都能夠正確分類。同樣用 k=10 來測試 LISA-CNN 的擾動。本文攻擊對海報攻擊實現(xiàn)了 100% 的目標(biāo)攻擊成功率，而對偽裝抽象藝術(shù)效果攻擊的目標(biāo)攻擊成功率為 84.8%。見表 3。
表 3. LISA-CNN 的駕車測試總結(jié)。在基線測試中，所有的幀都被正確地分類為停車標(biāo)志。在所有的攻擊案例中，擾動情況與表 2 相同。手動添加了黃色方框進行視覺提示
1.3.2 GTSRB-CNN 的實驗結(jié)果
為了展示本文所提出的攻擊算法的多功能性，作者為 GTSRB-CNN 創(chuàng)建并測試了攻擊性能（測試集上準(zhǔn)確度為 95.7%）。表 1 中最后一列為樣本圖像。表 4 給出了攻擊結(jié)果—在 80% 的靜止測試條件下，本文提出的攻擊使分類器相信停止標(biāo)志是限速 80 的標(biāo)志。根據(jù)本文評估方法，作者還進行了駕車測試（k=10，兩個連續(xù)的視頻記錄），最終攻擊在 87.5% 的時間里成功欺騙了分類器。
表 4. 對 GTSRB-CNN 的偽裝藝術(shù)效果攻擊。有針對性的攻擊成功率為 80%（真實類別標(biāo)簽：停止，目標(biāo)：限速 80）
1.3.3 Inception v3 的實驗結(jié)果
最后，為了證明 RP2 的通用性，作者使用兩個不同的物體，一個微波爐和一個咖啡杯，計算了標(biāo)準(zhǔn) Inception-v3 分類器的物理擾動情況。作者選擇了貼紙攻擊方法，因為使用海報攻擊方法為物體打印一個全新的表面很容易引起人的懷疑。由于杯子和微波爐的尺寸比路標(biāo)小，作者減少了使用的距離范圍（例如，咖啡杯高度 - 11.2 厘米，微波爐高度 - 24 厘米，右轉(zhuǎn)標(biāo)志高度 - 45 厘米，停止標(biāo)志 - 76 厘米）。表 5 給出了對微波爐的攻擊結(jié)果，表 6 則給出了對咖啡杯的攻擊結(jié)果。對于微波爐，目標(biāo)攻擊的成功率是 90%。對于咖啡杯，目標(biāo)攻擊成功率為 71.4%，非目標(biāo)成功率為 100%。
表 5. 對 Inception-v3 分類器的貼紙擾動攻擊。原始分類是微波，攻擊目標(biāo)是電話
表 6. 對 Inception-v3 分類器的貼紙擾動攻擊。原始分類是咖啡杯，攻擊目標(biāo)是****機
1.3.4 討論 
黑盒攻擊。考慮到對目標(biāo)分類器的網(wǎng)絡(luò)結(jié)構(gòu)和模型權(quán)重的訪問，RP2 可以產(chǎn)生各種強大的物理擾動來欺騙分類器。通過研究像 RP2 這樣的白盒攻擊，我們可以分析使用最強攻擊者模型的成功攻擊的要求，并更好地指導(dǎo)未來的防御措施。在黑盒環(huán)境下評估 RP2 是一個開放的問題。
圖像裁剪和攻擊性檢測器。在評估 RP2 時，作者每次在分類前都會手動控制每個圖像的裁剪。這樣做是為了使對抗性圖像與提供給 RP2 的清潔標(biāo)志圖像相匹配。隨后，作者評估了使用偽隨機裁剪的偽裝藝術(shù)效果攻擊，以保證至少大部分標(biāo)志在圖像中。針對 LISA-CNN，我們觀察到平均目標(biāo)攻擊率為 70%，非目標(biāo)攻擊率為 90%。針對 GTSRB-CNN，我們觀察到平均目標(biāo)攻擊率為 60%，非目標(biāo)攻擊率為 100%。作者在實驗中考慮非目標(biāo)攻擊的成功率，是因為導(dǎo)致分類器不輸出正確的交通標(biāo)志標(biāo)簽仍然是一種安全風(fēng)險。雖然圖像裁剪對目標(biāo)攻擊的成功率有一定的影響，但作者在其它工作中的研究結(jié)果表明，RP2 的改進版可以成功地攻擊物體檢測器，在這種情況下就不需要再進行裁剪處理了[5]。