跳转至

Angular Gradient Sign Method: Uncovering Vulnerabilities in Hyperbolic Networks

会议: AAAI 2026
arXiv: 2511.12985v2
代码: 无
领域: AI安全 / 对抗攻击 / 双曲空间
关键词: 对抗攻击, 双曲网络, 角度梯度, Poincaré球, 跨模态检索

一句话总结

提出Angular Gradient Sign Method (AGSM),将双曲空间中的梯度分解为径向(层次深度)和角度(语义)分量,仅沿角度方向施加扰动来生成对抗样本,在图像分类和跨模态检索任务上比标准FGSM/PGD多降低5-13%的准确率。

背景与动机

传统对抗攻击(FGSM、PGD等)基于欧几里得几何假设设计,但近年来双曲网络(Poincaré ResNet、HyCoCLIP等)在层次化数据表示方面取得了显著成功。双曲空间具有指数级表示能力和层次保持结构,适合树结构、分类法等数据。然而,直接将欧几里得空间的对抗攻击应用于双曲网络忽略了曲面空间的几何性质,导致扰动效率低下且与流形结构不一致。

关键观察:在双曲空间中,径向位移改变的是层次深度(从一般到具体),而角度位移改变的是同层级内的细粒度语义。实验发现径向扰动几乎不影响分类准确率,而角度扰动是攻击效果的主要来源。

核心问题

如何设计利用双曲空间几何性质的对抗攻击方法,比几何无关的传统攻击更有效地攻击双曲网络? 具体而言,如何分离出双曲表示中语义敏感的角度方向,针对性地施加扰动?

方法详解

整体框架

AGSM的流程分三步: 1. 先用标准FGSM生成一个临时扰动样本,获得表示空间中的位移向量 2. 将该位移向量在切空间中分解为径向(radial)和角度(angular)分量 3. 仅保留角度分量,反向传播到输入空间,用其符号方向施加最终扰动

输入:原始样本 \(\mathbf{x}\)、标签 \(y\)、扰动预算 \(\varepsilon\) 输出:对抗样本 \(\mathbf{x}_{adv}\)

关键设计

  1. 径向-角度分解: 给定原始表示 \(\mathbf{h} = f(\mathbf{x})\) 和FGSM扰动后的表示 \(\tilde{\mathbf{h}}_{adv} = f(\tilde{\mathbf{x}}_{adv})\),计算位移 \(\Delta\mathbf{h} = \tilde{\mathbf{h}}_{adv} - \mathbf{h}\)。径向分量为 \(\mathbf{v}_{rad} = \langle\Delta\mathbf{h}, \mathbf{u}_h\rangle \mathbf{u}_h\)(其中 \(\mathbf{u}_h = \mathbf{h}/\|\mathbf{h}\|_2\) 是径向单位向量),角度分量为 \(\mathbf{v}_{ang} = \Delta\mathbf{h} - \mathbf{v}_{rad}\)。这个分解适用于Poincaré球和Lorentz模型。

  2. 角度方向的反向传播: 计算角度分量与表示之间内积的梯度 \(\nabla_\mathbf{x}\langle\mathbf{h}, \mathbf{v}_{ang}\rangle = (\partial\mathbf{h}/\partial\mathbf{x})^\top \mathbf{v}_{ang}\),这个梯度指向最大化角度位移的方向。最终扰动为 \(\mathbf{x}_{adv} = \mathbf{x} + \varepsilon \cdot \text{sign}(\nabla_\mathbf{x}\langle\mathbf{h}, \mathbf{v}_{ang}\rangle)\)

  3. PAGD扩展 (Projected Angular Gradient Descent): 将AGSM扩展为迭代攻击,每步重新计算角度方向,沿该方向更新后投影回 \(\ell_\infty\) 约束球内。\(T=20\) 步迭代,步长 \(\alpha = \varepsilon/4\)(分类)或 \(\varepsilon/10\)(检索)。

损失函数 / 训练策略

AGSM是推理时的攻击方法,不涉及训练。对抗训练实验表明,用AGSM扰动样本训练仅带来有限的鲁棒性提升且会损失clean accuracy。

实验关键数据

模型/数据集 指标 Clean FGSM AGSM PGD PAGD
PRN-32 / CIFAR-10 Top-1 Acc 86.21 54.19 41.56 8.05 7.77
PRN-32 / CIFAR-100 Top-1 Acc 53.44 19.67 13.93 9.24 7.86
PRN-32 / TinyImageNet Top-1 Acc 30.46 8.02 5.57 5.69 5.00
HyCoCLIP ViT-B/16 / COCO T2I R@5 69.30 15.90 12.60 4.50 4.00
HyCoCLIP ViT-B/16 / Flickr30K I2T R@5 92.60 29.50 26.60 11.70 10.70

注:均在 \(\varepsilon = 8.0/255\) 下测试(除特别标注外)

消融实验要点

  • 角度 vs 径向: 径向扰动几乎不影响准确率(53.44% → 53.44%),角度扰动降至25.56%,FGSM降至19.67%,AGSM进一步降至13.93%。说明角度方向是对抗效果的主要来源
  • \(\ell_2\) 范数约束: AGSM在 \(\ell_2\) 约束下同样优于FGSM,攻击效果与范数选择无关
  • 对抗训练: 用AGSM增强训练可提升对AGSM攻击的鲁棒性(CIFAR-10: 8.30→51.07),但clean accuracy下降(84.76→82.31),说明直接对抗训练不是理想防御
  • 双曲距离分析: AGSM在Lorentz空间中产生更大的测地距离(COCO: 0.3883→0.4457),确认角度扰动推动表示沿测地线移动更远
  • 置信度下降: AGSM比FGSM造成更大的MSP下降(CIFAR-10 ε=8.0: 0.4364→0.5597)

亮点

  • 简洁优雅的几何洞察: 径向-角度分解揭示了双曲空间中语义信息主要编码在角度方向这一重要性质,这对理解双曲表示空间的结构有启发
  • 方法简单但有效: 只需在FGSM基础上加一个正交投影步骤就能显著提升攻击效果,实现成本极低
  • 跨任务通用性: 方法同时适用于Poincaré球模型(分类)和Lorentz模型(跨模态检索),几何框架统一
  • 径向扰动无效的发现: 这个负面结果本身很有价值,说明双曲网络的层次结构对输入扰动具有鲁棒性,脆弱性集中在角度维度

局限性 / 可改进方向

  • 防御效果有限: 用AGSM做对抗训练只带来有限改善且损害clean accuracy,需要专门设计几何感知的防御策略
  • 白盒攻击假设: 需要完整的模型梯度访问,黑盒场景下的适用性未验证
  • 仅测试两类双曲模型: Poincaré ResNet和HyCoCLIP,对其他双曲架构(如HNN、HyboNet、L-CLIP)的泛化性未探索
  • 低分辨率数据集: 分类实验使用32×32图像(CIFAR、Tiny ImageNet),高分辨率场景未测试
  • 可扩展到双曲防御设计: 既然知道脆弱性在角度方向,可以设计角度方向上的正则化或对抗训练来增强鲁棒性

与相关工作的对比

方法 核心思路 与AGSM的关键差异
FGSM 沿损失梯度符号方向扰动 几何无关,同时引入径向和角度位移,后者是"附带效果"
PGD 多步迭代FGSM + 投影 同样几何无关,PAGD通过角度分解在每步改进方向选择
van Spengler et al. (2025) 直接在合成双曲嵌入上应用FGM/PGD 仅关注输入空间和合成数据,未分析输出空间的径向-角度结构

AGSM的核心区别在于它是第一个在表示空间的输出层面利用双曲几何结构来设计攻击的方法。

启发与关联

  • 径向-角度分解的思路可推广到其他非欧几里得空间的对抗鲁棒性研究(如球面表示、SPD矩阵流形等)
  • "角度方向编码语义"这一发现对双曲表示学习本身有启发:可以考虑在训练时增强角度方向的鲁棒性
  • 与对抗训练文献的交叉:地盘从欧几里得扩展到黎曼流形,可能催生新的几何感知对抗训练框架

评分

  • 新颖性: ⭐⭐⭐⭐ 径向-角度分解的思路在对抗攻击中是新颖的,但方法本身是FGSM的直接改进
  • 实验充分度: ⭐⭐⭐⭐ 覆盖分类和检索两大任务、多个模型和数据集,消融分析到位
  • 写作质量: ⭐⭐⭐⭐ 数学推导清晰,图表说明力强,但相关工作部分有typo(Hyerpbolic)
  • 价值: ⭐⭐⭐ 对双曲学习社区有价值,但应用范围较窄(仅限双曲网络的对抗攻击)