论文标题：Defense against data poisoning attacks in robot vision systems based on adversarial example detection

期刊：Frontiers of Computer Science

作者：Ruiqing CHU, Xiao FU, Bin LUO, Jin SHI, Xiaoyang ZHOU

发表时间：16 May 2025

DOI：10.1007/s11704-025-50195-5

微信链接：点击此处阅读微信文章

引用格式：

Ruiqing CHU, Xiao FU, Bin LUO, Jin SHI, Xiaoyang ZHOU. Defense against data poisoning attacks in robot vision systems based on adversarial example detection. Front. Comput. Sci., 2026, 20(7): 2007335

阅读原文：

摘要

针对机器人视觉系统面临的数据投毒威胁，南京大学研究团队提出了一种利用对抗样本检测技术进行防御的新框架。该研究通过分析投毒样本与对抗样本在特征空间分布及变异敏感性上的相似性，改进了特征挤压与模型变异方法，实现了对多种投毒攻击的高效拦截。实验表明，该方法在保障机器人导航与目标识别安全方面表现卓越，优于现有多种专门防御技术。

文章精要

机器人视觉系统是实现物体识别、自主导航及环境交互等核心功能的基石，然而其安全性正面临严峻挑战。在复杂的实际应用场景中，深度神经网络极易受到对抗攻击和数据投毒攻击的威胁。相比于已得到广泛研究的对抗攻击，针对数据投毒攻击的防御研究相对滞后，且现有防御手段大多仅能针对特定类型的攻击。对于高度依赖视觉引导的机器人而言，投毒攻击通过操纵训练数据，可能导致模型性能下降、目标误识甚至导航灾难。这种针对脆弱环节的精准打击，以及现有通用防御机制的匮乏，已成为制约机器人技术在关键安全领域大规模部署的核心痛点。

为了攻克这一难题，南京大学团队提出了一种基于对抗样本检测的创新防御框架。该研究敏锐地察觉到投毒样本与对抗样本在特征空间分布和对模型变异敏感性上存在显著的相似性。基于此发现，团队改进了传统的特征挤压（Feature Squeezing）与模型变异（Model Mutation）方法，并将其跨界应用于投毒防御。具体而言，研究人员在特征挤压中引入了灰度压缩、数据增强以及主成分分析等降维技术，有效过滤了输入数据中的有害扰动，减少了模型对受损标签的依赖。同时，利用模型变异对样本敏感度的差异化表现，构建了精准的异常检测机制。

实验结果表明，该框架在应对标签翻转攻击（LF-Attack）、针对性清洗标签攻击（TCL-Attack）及单像素捷径攻击（OPS）等多种威胁时，均表现出极高的防御效能。相比于CD、Sever及De-Pois等传统防御算法，该方法不仅展现了更强的泛化能力，且在实际机器人视觉基准测试中显著提升了目标识别的准确性与鲁棒性。这一研究成果打通了对抗防御与投毒防御之间的技术壁垒，为构建高可信机器人自主系统提供了坚实的理论支撑与技术保障，对推动人工智能安全技术的工程化落地具有重要意义。

期刊简介

Frontiers of Computer Science （FCS）是由教育部主管、高等教育出版社和北京航空航天大学共同主办，南京大学支持，SpringerNature 公司海外发行的英文学术期刊。本刊于 2007 年创刊，月刊，全球发行。主要刊登计算机科学领域具有创新性的综述论文、研究论文等。本刊主编为周志华院士，共同主编为熊璋教授。编委会及青年 AE 团队由国内外知名学者及优秀青年学者组成。本刊被 SCI、Ei、DBLP、INSPEC、SCOPUS 和中国科学引文数据库（CSCD）核心库等收录，为 CCF 推荐B类期刊；两次入选“中国科技期刊国际影响力提升计划”；入选“第4届中国国际化精品科技期刊”；两次入选“中国科技期刊卓越行动计划”（一期梯队、二期领军）。

中国学术前沿期刊网

http://journal.hep.com.cn