Robust SAM: On the Adversarial Robustness of Vision Foundation Models

📄 arXiv: 2504.08906v1 📥 PDF

作者: Jiahuan Long, Zhengqin Xu, Tingsong Jiang, Wen Yao, Shuai Jia, Chao Ma, Xiaoqian Chen

分类: cs.CV, cs.AI

发布日期: 2025-04-11

备注: Accepted by AAAI2025

💡 一句话要点

提出对抗鲁棒性框架,提升SAM在不同提示下的防御能力和精度平衡

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 对抗鲁棒性 视觉基础模型 SAM 图像分割 跨提示攻击

📋 核心要点

  1. 现有SAM的对抗鲁棒性研究不足,尤其缺乏考虑提示作用和平衡鲁棒性与精度的防御方法。
  2. 提出对抗鲁棒性框架,包含跨提示攻击方法增强攻击迁移性,以及少参数自适应策略防御攻击。
  3. 实验表明,该方法在提升对抗鲁棒性的同时,能有效保持SAM的原始性能,mIoU提升至少15%。

📝 摘要(中文)

Segment Anything Model (SAM) 是一种广泛使用的视觉基础模型,应用于图像分割、检测和跟踪等领域。鉴于 SAM 的广泛应用,理解其对抗攻击的鲁棒性对于实际部署至关重要。然而,目前对 SAM 鲁棒性的研究仍处于早期阶段。现有的攻击方法通常忽略了提示在评估 SAM 鲁棒性中的作用,并且对平衡鲁棒性和准确性的防御方法探索不足。为了解决这些问题,本文提出了一个对抗鲁棒性框架,旨在评估和增强 SAM 的鲁棒性。具体来说,我们引入了一种跨提示攻击方法,以增强不同提示类型之间的攻击迁移性。除了攻击之外,我们还提出了一种少参数自适应策略来防御 SAM 免受各种对抗攻击。为了平衡鲁棒性和准确性,我们使用奇异值分解 (SVD) 来约束可训练参数的空间,其中只有奇异值是可适应的。实验表明,我们的跨提示攻击方法在 SAM 和 SAM 2 上的攻击成功率均优于以前的方法。通过仅调整 512 个参数,我们针对各种对抗攻击实现了至少 15% 的平均交并比 (mIoU) 提升。与之前的防御方法相比,我们的方法在最大限度地保持 SAM 原始性能的同时,增强了其鲁棒性。

🔬 方法详解

问题定义:论文旨在解决视觉基础模型 SAM 在面对对抗攻击时鲁棒性不足的问题。现有的攻击方法往往忽略了 prompt 的重要性,并且缺乏在提升鲁棒性的同时保持模型原始性能的有效防御手段。因此,如何设计一种既能有效攻击 SAM,又能防御对抗攻击,同时兼顾模型精度,是本文要解决的核心问题。

核心思路:论文的核心思路是构建一个对抗鲁棒性框架,通过跨 prompt 攻击来评估 SAM 的鲁棒性,并提出一种少参数自适应策略来防御对抗攻击。通过奇异值分解(SVD)约束可训练参数空间,仅调整奇异值,从而在提升鲁棒性的同时,最大限度地保持 SAM 的原始性能。

技术框架:该框架主要包含两个部分:跨 prompt 攻击和少参数自适应防御。首先,设计跨 prompt 攻击方法,增强攻击在不同 prompt 类型之间的迁移性,从而更全面地评估 SAM 的鲁棒性。然后,提出基于 SVD 的少参数自适应策略,通过仅调整少量参数来防御对抗攻击,从而在提升鲁棒性的同时,尽可能地保持 SAM 的原始性能。

关键创新:论文的关键创新在于提出了跨 prompt 攻击方法和基于 SVD 的少参数自适应防御策略。跨 prompt 攻击方法能够更全面地评估 SAM 的鲁棒性,而少参数自适应防御策略能够在提升鲁棒性的同时,最大限度地保持 SAM 的原始性能。与现有方法相比,该方法在鲁棒性和精度之间取得了更好的平衡。

关键设计:在少参数自适应防御策略中,使用奇异值分解(SVD)来约束可训练参数的空间,只允许调整奇异值。具体来说,将模型的参数矩阵分解为 UΣV^T 的形式,其中 Σ 是一个对角矩阵,其对角线上的元素是奇异值。通过只调整 Σ 中的奇异值,可以有效地控制参数的更新幅度,从而在提升鲁棒性的同时,尽可能地保持模型的原始性能。实验中,仅调整 512 个参数即可取得显著的鲁棒性提升。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,提出的跨提示攻击方法在 SAM 和 SAM 2 上的攻击成功率均优于现有方法。通过仅调整 512 个参数,提出的防御方法针对各种对抗攻击实现了至少 15% 的平均交并比 (mIoU) 提升。与之前的防御方法相比,该方法在增强 SAM 鲁棒性的同时,最大限度地保持了其原始性能。

🎯 应用场景

该研究成果可应用于各种需要图像分割的实际场景,例如自动驾驶、医学图像分析、遥感图像处理等。通过提高 SAM 的对抗鲁棒性,可以增强这些应用在恶意攻击下的稳定性和可靠性,降低安全风险。此外,该研究提出的防御方法具有参数量小的优点,易于部署和应用。

📄 摘要(原文)

The Segment Anything Model (SAM) is a widely used vision foundation model with diverse applications, including image segmentation, detection, and tracking. Given SAM's wide applications, understanding its robustness against adversarial attacks is crucial for real-world deployment. However, research on SAM's robustness is still in its early stages. Existing attacks often overlook the role of prompts in evaluating SAM's robustness, and there has been insufficient exploration of defense methods to balance the robustness and accuracy. To address these gaps, this paper proposes an adversarial robustness framework designed to evaluate and enhance the robustness of SAM. Specifically, we introduce a cross-prompt attack method to enhance the attack transferability across different prompt types. Besides attacking, we propose a few-parameter adaptation strategy to defend SAM against various adversarial attacks. To balance robustness and accuracy, we use the singular value decomposition (SVD) to constrain the space of trainable parameters, where only singular values are adaptable. Experiments demonstrate that our cross-prompt attack method outperforms previous approaches in terms of attack success rate on both SAM and SAM 2. By adapting only 512 parameters, we achieve at least a 15\% improvement in mean intersection over union (mIoU) against various adversarial attacks. Compared to previous defense methods, our approach enhances the robustness of SAM while maximally maintaining its original performance.