쿼리 효율적인 결정 기반 적대적 공격을 위한 잠재 기하학적 코드 (Latent Geometric Chords)

결정 기반 블랙박스 적대적 공격 (decision-based black-box adversarial attacks)은 심각한 보안 위협을 제기하지만, 현재의 방법론들은 근본적인 한계를 가지고 있습니다. 픽셀 단위 공격 (Pixel-wise attacks)은 빈번하게 부자연스럽고 고주파적인 시각적 아티팩트 (visual artifacts)를 생성하는 반면, 잠재 공간 (latent-space) 프레임워크는 저차원 매니폴드 (low-dimensional manifolds)의 제한된 탐색 공간과 내재된 재구성 결함 (reconstruction flaws)에 의해 제약을 받습니다. 이러한 한계를 해결하기 위해, 우리는 쿼리 효율적인 결정 기반 적대적 공격을 위한 Latent Geometric Chords (LGC)와 그 변형인 LGC-H를 제안합니다. LGC의 핵심은 압축된 의미론적 매니폴드 (semantic manifold) 내에서 곡률 인식 기하학적 탐색 (curvature-aware geometric search)을 실행함으로써 결정 경계 (decision boundaries)를 탐색하는 것입니다. 높은 시각적 충실도 (visual fidelity)를 보장하고 차원의 병목 현상을 우회하기 위해, 우리는 잔차 기반 적대적 생성 (Residual-based Adversarial Generation, RAG) 메커니즘을 도입합니다. RAG는 의미론적 섭동 (semantic perturbations)을 기하학적 코드 (geometric chords)로 분리하여 원본 소스 이미지에 직접 중첩시킵니다. RAG는 베이스라인의 재구성 결함을 실질적으로 해결하며 허용 가능한 탐색 공간의 차원을 효과적으로 두 배로 늘립니다. 실험 결과에 따르면, LGC는 강력한 교차 데이터셋 전이성 (cross-dataset transferability)을 달성하며 최신 베이스라인 (state-of-the-art baselines)들을 크게 능가합니다. 특히, 우리의 방법인 LGC는 섭동 크기를 최소화하면서도 최첨단의 시각적 충실도를 달성합니다. 구체적으로 5,000회의 쿼리에서 구조적 유사도 지수 (Structural Similarity Index Measure, SSIM) 0.99 초과 및 학습된 지각적 이미지 패치 유사도 (Learned Perceptual Image Patch Similarity, LPIPS) 0.01 미만을 기록하였으며, 엄격한 지각적 제약 하에서도 높은 공격 성공률을 유지하며 적대적으로 학습된 강건한 모델 (adversarially trained robust models)을 성공적으로 무력화합니다. 소스 코드는 다음에서 확인할 수 있습니다: https://github.com/eihmuekhine/Latent-Geometric-Chords.