StealthAttack: Robust 3D Gaussian Splatting Poisoning via Density-Guided Illusions

📄 arXiv: 2510.02314v1 📥 PDF

作者: Bo-Hsu Ke, You-Zhe Xie, Yu-Lun Liu, Wei-Chen Chiu

分类: cs.CV

发布日期: 2025-10-02

备注: ICCV 2025. Project page: https://hentci.github.io/stealthattack/

🔗 代码/项目: PROJECT_PAGE

💡 一句话要点

StealthAttack:提出一种基于密度引导的3D高斯溅射隐蔽投毒攻击方法

🎯 匹配领域: 支柱三:空间感知与语义 (Perception & Semantics)

关键词: 3D高斯溅射 投毒攻击 对抗攻击 神经辐射场 密度估计

📋 核心要点

  1. 现有的3D场景表示方法容易受到图像级投毒攻击,导致渲染结果出现异常,影响系统的可靠性。
  2. 论文提出一种密度引导的投毒方法,通过在低密度区域注入高斯点来嵌入幻觉对象,实现隐蔽且有效的攻击。
  3. 实验结果表明,该方法在攻击成功率和隐蔽性方面优于现有技术,并提出了基于KDE的评估协议。

📝 摘要(中文)

神经辐射场(NeRF)和3D高斯溅射(3DGS)等3D场景表示方法显著推动了新视角合成技术的发展。随着这些方法的普及,解决其潜在的安全漏洞变得至关重要。本文分析了3DGS对图像级投毒攻击的鲁棒性,并提出了一种新颖的密度引导投毒方法。该方法通过核密度估计(KDE)策略性地将高斯点注入到低密度区域,从而嵌入从中毒视角清晰可见的、视角相关的幻觉对象,同时最大限度地减少对正常视角的干扰。此外,我们引入了一种自适应噪声策略来扰乱多视角一致性,进一步增强了攻击效果。我们提出了一种基于KDE的评估协议,以系统地评估攻击难度,从而为未来的研究提供客观的基准。大量的实验表明,与最先进的技术相比,我们的方法具有更优越的性能。

🔬 方法详解

问题定义:论文旨在解决3D高斯溅射(3DGS)在图像级投毒攻击下的脆弱性问题。现有的3DGS方法容易受到恶意图像的干扰,导致渲染结果出现不希望的伪影或幻觉,从而影响其在安全敏感场景中的应用。现有的攻击方法可能容易被检测到,或者对正常视角的渲染质量产生较大影响。

核心思路:论文的核心思路是利用场景的密度信息来引导投毒攻击。通过在场景的低密度区域策略性地注入高斯点,可以在中毒视角中引入幻觉对象,同时最大限度地减少对正常视角的干扰。这种方法旨在实现隐蔽且有效的攻击,使得攻击难以被检测到,并且对正常渲染质量的影响最小。

技术框架:该方法主要包含以下几个阶段:1) 密度估计:使用核密度估计(KDE)来估计场景中每个位置的密度。2) 高斯点注入:根据密度估计结果,在低密度区域注入高斯点,这些高斯点被设计成在中毒视角中呈现出幻觉对象。3) 自适应噪声:引入自适应噪声来扰乱多视角一致性,进一步增强攻击效果。4) 渲染:使用修改后的3DGS模型渲染场景,展示攻击效果。

关键创新:论文的关键创新在于:1) 密度引导的投毒策略:利用场景的密度信息来指导高斯点的注入,实现隐蔽且有效的攻击。2) 自适应噪声策略:通过引入自适应噪声来扰乱多视角一致性,增强攻击的鲁棒性。3) KDE-based评估协议:提出了一种基于KDE的评估协议,用于系统地评估攻击难度,为未来的研究提供客观的基准。

关键设计:1) 核密度估计(KDE):使用高斯核函数进行密度估计,并选择合适的带宽参数。2) 高斯点注入策略:根据密度阈值选择注入位置,并调整高斯点的颜色、透明度和位置,以实现所需的幻觉效果。3) 自适应噪声策略:根据视角和场景的特性,自适应地调整噪声的强度和方向。4) 损失函数:使用感知损失和风格损失来优化注入的高斯点,以提高幻觉对象的真实感和视觉效果。

📊 实验亮点

实验结果表明,StealthAttack方法在攻击成功率和隐蔽性方面均优于现有技术。与基线方法相比,该方法在中毒视角中能够更清晰地呈现幻觉对象,同时对正常视角的渲染质量影响更小。此外,基于KDE的评估协议能够有效地评估攻击难度,为未来的研究提供客观的基准。

🎯 应用场景

该研究成果可应用于评估和提升3D场景表示方法(如NeRF和3DGS)的安全性。通过模拟和分析投毒攻击,可以发现现有方法的潜在漏洞,并开发相应的防御机制。此外,该研究还可以用于开发更安全的3D内容生成和共享平台,防止恶意用户篡改或破坏3D场景。

📄 摘要(原文)

3D scene representation methods like Neural Radiance Fields (NeRF) and 3D Gaussian Splatting (3DGS) have significantly advanced novel view synthesis. As these methods become prevalent, addressing their vulnerabilities becomes critical. We analyze 3DGS robustness against image-level poisoning attacks and propose a novel density-guided poisoning method. Our method strategically injects Gaussian points into low-density regions identified via Kernel Density Estimation (KDE), embedding viewpoint-dependent illusory objects clearly visible from poisoned views while minimally affecting innocent views. Additionally, we introduce an adaptive noise strategy to disrupt multi-view consistency, further enhancing attack effectiveness. We propose a KDE-based evaluation protocol to assess attack difficulty systematically, enabling objective benchmarking for future research. Extensive experiments demonstrate our method's superior performance compared to state-of-the-art techniques. Project page: https://hentci.github.io/stealthattack/