ComplicitSplat: Downstream Models are Vulnerable to Blackbox Attacks by 3D Gaussian Splat Camouflages
2508.11854v1
cs.CV, cs.LG
2025-08-19
Авторы:
Matthew Hull, Haoyang Yang, Pratham Mehta, Mansi Phute, Aeree Cho, Haorang Wang, Matthew Lau, Wenke Lee, Wilian Lunardi, Martin Andreoni, Polo Chau
Резюме на русском
## Контекст
В последнее время 3D Gaussian Splatting (3DGS) получила широкое применение в безопасных задачах, таких как эффективное извлечение нового представления статичных изображений. Однако, ничто не защищает эти задачи от атак адверсарных акторов. Мы проанализировали, как могли бы злоумышленники использовать вредоносные изображения, чтобы причинить вред системам, использующим 3DGS. Это привело к разработке ComplicitSplat, первой атаки, которая использует стандартные методы освещения 3DGS для создания видозависивой камуфляжа. Это позволяет вставить визуальное содержимое в объекты, которые видны только при определенных углах обзора, позволяя внедрить злонамеренное поведение в системы, не имея доступа к модели или весам архитектуры.
## Метод
ComplicitSplat основывается на изменении 3DGS-шейдинга, добавляя видозависимые камуфляжные эффекты в объекты, позволяя скрыть злонамеренное содержимое. Добавленные эффекты изменяются в зависимости от угла обзора, что делает их незаметными в постоянных изображениях. Мы использовали оптимизационные методы для поиска наиболее эффективных видозависимых эффектов. Метод атаки может работать в условиях black-box, не требуя доступа к модели или весам, что делает его особенно опасным. Мы проверили нашу модель на различных моделях обнаружения объектов, включая одноступенчатые, многоступенчатые и трансформер-модели, как на реальных, так и на синтетических данных.
## Результаты
Мы провели эксперименты на нескольких популярных моделях обнаружения объектов, таких как YOLOv5, Faster R-CNN и DETR. Эти модели были атакованы в различных условиях, включая реальные съемки объектов и синтетические сцены. Наши результаты показали, что ComplicitSplat успешно внедряет видозависимую камуфляжную информацию, которая приводит к повышению ошибки детектора. Мы также проверили точность камуфляжа, тем самым показав, что он незаметен для человеческого глаза и систем визуального распознавания. Это подтверждает практическую реализацию нашего метода в сценариях, где 3DGS используется в критических задачах.
## Значимость
Видозависимая камуфляжная атака ComplicitSplat широко может применяться в критических зонах, таких как автономная навигация, системы безопасности и другие приложения, использующие 3DGS. Эта атака демонстрирует новый уровень риска для таких систем, поскольку она может привести к значительной понижению точности детекторов. Мы также выявили, что текущие методы защиты не эффективны против этого типа атак, что делает ее еще более опасной. Наше исследование открывает путь к разработке новых методов защиты, таких как
Abstract
As 3D Gaussian Splatting (3DGS) gains rapid adoption in safety-critical tasks
for efficient novel-view synthesis from static images, how might an adversary
tamper images to cause harm? We introduce ComplicitSplat, the first attack that
exploits standard 3DGS shading methods to create viewpoint-specific camouflage
- colors and textures that change with viewing angle - to embed adversarial
content in scene objects that are visible only from specific viewpoints and
without requiring access to model architecture or weights. Our extensive
experiments show that ComplicitSplat generalizes to successfully attack a
variety of popular detector - both single-stage, multi-stage, and
transformer-based models on both real-world capture of physical objects and
synthetic scenes. To our knowledge, this is the first black-box attack on
downstream object detectors using 3DGS, exposing a novel safety risk for
applications like autonomous navigation and other mission-critical robotic
systems.
Ссылки и действия
Дополнительные ресурсы: