データ駆動型超解像法の向両刃の剣：敵対的超解像モデル

arXiv:2602.07251v1 発表タイプ：新しい 要約: データ駆動型超解像（SR）手法は、分類や検出など Downsstream タスクの向上を目的として、常にもう一度処理パイプラインに組み込まれている。しかし、これらの SR モデルは以前にも知られなかった攻撃表面を導入している。本稿では、推論時に入力がアクセスされることなく、訓練中に SR モデルの重みに直接敵対的行為が埋め込まれることを示す AdvSR というフレームワークを提示する。以前の攻撃が入力を扰乱するかバックドアトリガーに依存するのに対し、AdvSR は完全にモデルレベルで動作する。再建品質と目標敵対的結果の両方を最適化することで、AdvSR は標準的な画像品質指標では良心的に見えるモデルを生み出すが、Downstream 分類に誤りを誘発する。AdvSR を SRCNN、EDSR、SwinIR の 3 つの SR アーキテクチャと YOLOv11 分類器と組み合わせ、評価を行った結果、AdvSR モデルは最小限の品質劣化で高攻撃成功率を達成することが示された。これらの発見は、セキュリティ重視のアプリケーションにおけるモデルのソースおよび検証の在り方に影響を与える、新しいモデルレベルの脅威を浮き彫りにしている。

arXiv:2602.07251v1 Announce Type: new Abstract: Data-driven super-resolution (SR) methods are often integrated into imaging pipelines as preprocessing steps to improve downstream tasks such as classification and detection. However, these SR models introduce a previously unexplored attack surface into imaging pipelines. In this paper, we present AdvSR, a framework demonstrating that adversarial behavior can be embedded directly into SR model weights during training, requiring no access to inputs at inference time. Unlike prior attacks that perturb inputs or rely on backdoor triggers, AdvSR operates entirely at the model level. By jointly optimizing for reconstruction quality and targeted adversarial outcomes, AdvSR produces models that appear benign under standard image quality metrics while inducing downstream misclassification. We evaluate AdvSR on three SR architectures (SRCNN, EDSR, SwinIR) paired with a YOLOv11 classifier and demonstrate that AdvSR models can achieve high attack success rates with minimal quality degradation. These findings highlight a new model-level threat for imaging pipelines, with implications for how practitioners source and validate models in safety-critical applications.