2025-11-25T16:19:18.181446

The Fluorescent Veil: A Stealthy and Effective Physical Adversarial Patch Against Traffic Sign Recognition

Yuan, Han, Li et al.

Recently, traffic sign recognition (TSR) systems have become a prominent target for physical adversarial attacks. These attacks typically rely on conspicuous stickers and projections, or using invisible light and acoustic signals that can be easily blocked. In this paper, we introduce a novel attack medium, i.e., fluorescent ink, to design a stealthy and effective physical adversarial patch, namely FIPatch, to advance the state-of-the-art. Specifically, we first model the fluorescence effect in the digital domain to identify the optimal attack settings, which guide the real-world fluorescence parameters. By applying a carefully designed fluorescence perturbation to the target sign, the attacker can later trigger a fluorescent effect using invisible ultraviolet light, causing the TSR system to misclassify the sign and potentially leading to traffic accidents. We conducted a comprehensive evaluation to investigate the effectiveness of FIPatch, which shows a success rate of 98.31% in low-light conditions. Furthermore, our attack successfully bypasses five popular defenses and achieves a success rate of 96.72%.

academic

El Velo Fluorescente: Un Parche Adversarial Físico Sigiloso y Efectivo Contra el Reconocimiento de Señales de Tráfico

Información Básica

ID del Artículo: 2409.12394
Título: The Fluorescent Veil: A Stealthy and Effective Physical Adversarial Patch Against Traffic Sign Recognition
Autores: Shuai Yuan, Xingshuo Han, Hongwei Li, Guowen Xu, Wenbo Jiang, Tao Ni, Qingchuan Zhao, Yuguang Fang
Clasificación: cs.CV cs.AI
Conferencia de Publicación: 39ª Conferencia sobre Sistemas de Procesamiento de Información Neuronal (NeurIPS 2025)
Enlace del Artículo: https://arxiv.org/abs/2409.12394

Resumen

Este artículo propone un método novedoso de ataque adversarial físico contra sistemas de reconocimiento de señales de tráfico (TSR). Los métodos de ataque existentes dependen de pegatinas evidentes, proyecciones o señales ópticas e acústicas invisibles que se bloquean fácilmente. Los autores introducen tinta fluorescente como un nuevo vector de ataque y diseñan un parche adversarial físico sigiloso y efectivo denominado FIPatch. El método primero modela el efecto fluorescente en el dominio digital para determinar parámetros de ataque óptimos, luego aplica perturbaciones fluorescentes cuidadosamente diseñadas en la señal objetivo. Los atacantes pueden desencadenar el efecto fluorescente mediante luz ultravioleta invisible, causando que el sistema TSR clasifique erróneamente y potencialmente provocando accidentes de tráfico. Los experimentos demuestran que FIPatch logra una tasa de éxito del 98,31% en condiciones de baja iluminación y puede eludir cinco métodos de defensa principales con una tasa de éxito del 96,72%.

Antecedentes de Investigación y Motivación

Definición del Problema

Los sistemas de reconocimiento de señales de tráfico, como componentes clave de la conducción autónoma, son vulnerables a ataques de muestras adversariales. Los ataques adversariales físicos existentes presentan las siguientes limitaciones:

Problema de Visibilidad: Los ataques basados en pegatinas son visualmente sospechosos y fáciles de detectar
Falta de Selectividad: Una vez desplegados, atacan indiscriminadamente a todos los vehículos
Fácil Defensa: La proyección de luz visible se puede rastrear fácilmente, los láseres infrarrojos se pueden bloquear con filtros
Baja Practicidad: Los ataques de señales acústicas se bloquean fácilmente mediante mecanismos de protección de señales físicas

Motivación de la Investigación

Los autores descubren que la tinta fluorescente posee ventajas únicas:

Sigilo: Transparente en entornos normales, difícil de detectar
Controlabilidad: Solo muestra efecto fluorescente bajo iluminación ultravioleta de longitud de onda específica
Resistencia a Defensa: La luz emitida está dentro del espectro visible, difícil de defender mediante filtros

Contribuciones Principales

Primera introducción de tinta fluorescente para construir parches adversariales físicos, abriendo un nuevo vector de ataque
Diseño del marco de ataque FIPatch, que incluye cuatro módulos: localización automática, modelado fluorescente, optimización y mejora de robustez
Propuesta de tres objetivos de ataque: ataque de ocultamiento, ataque de generación y ataque de clasificación errónea
Evaluación integral, verificando la efectividad y robustez del ataque en mundos digitales y físicos

Explicación Detallada del Método

Definición de la Tarea

El ataque FIPatch tiene como objetivo aplicar perturbaciones de tinta fluorescente en señales de tráfico para hacer que el sistema TSR cometa los siguientes tres tipos de errores bajo activación de luz ultravioleta:

Ataque de Ocultamiento: Hacer que el sistema no pueda detectar la señal de tráfico
Ataque de Generación: Hacer que el sistema detecte una señal de tráfico falsificada
Ataque de Clasificación Errónea: Hacer que el sistema clasifique la señal de tráfico en una categoría incorrecta

Arquitectura del Modelo

1. Módulo de Localización Automática de Señales de Tráfico

Adopta un procedimiento de tres pasos para localizar con precisión la región de la señal de tráfico:

Ecualización de Histograma: Se aplica cuando la imagen cumple la siguiente condición:

P99(t(x(i,j))) - P1(t(x(i,j))) / max(t(x(i,j))) - min(t(x(i,j))) < Th

Detección de Bordes Canny: Utiliza umbrales personalizados para detectar bordes de señales de tráfico

Detección Basada en Color: Define rangos de color HSV para detectar regiones amarillas, azules, rojas y negras

2. Módulo de Modelado Fluorescente

Definición de Fluorescencia: Las regiones fluorescentes circulares se parametrizan como:

θ0 = ((x0, y0), r0, γ0, α0)

Donde:

(x0, y0): Coordenadas del centro del círculo
r0: Radio
γ0: Color RGB
α0: Transparencia

Función de Perturbación: La perturbación de un círculo individual se define como:

π(x; θ0)(i,j) = x(i,j) · (1-α(i,j)) + α(i,j) · γ0

Modelado de Intensidad Fluorescente: Simula el efecto de iluminación UV mediante transformación del espacio de color LAB:

LAB(xadv)(i,j) = {
    LAB(x)(i,j) · [l1,1,1]T, (i,j) ∈ A ∧ (i,j) ∉ F
    LAB(x)(i,j) · [l2,1,1]T, (i,j) ∈ F  
    LAB(x)(i,j) · [1,1,1]T,  (i,j) ∉ A
}

3. Módulo de Optimización Fluorescente

Función Objetivo:

min Ex∼X,t∼T [ℓgoal + λℓarea]

Funciones de Pérdida Basadas en Objetivos:

Ataque de Ocultamiento: ℓgoal = Pr(object) · Pr(class) + βIoU
Ataque de Generación: ℓgoal = -Pr(object) · Pr(class)
Ataque de Clasificación Errónea: ℓgoal = log(py)

Pérdida de Área: Minimiza el área de perturbación

ℓarea = min Σ(i=1 to K) πri²

Optimización por Enjambre de Partículas: Utiliza el algoritmo PSO para optimizar el espacio de parámetros discretos en configuraciones de caja negra

4. Módulo de Mejora de Robustez

Expectativa de Transformación (EOT): Expande la distribución de transformaciones para adaptarse a cambios en el entorno físico de los materiales fluorescentes, incluyendo:

Cambios de fondo
Ajuste de brillo
Transformaciones de perspectiva
Cambios de distancia
Rotación y desenfoque de movimiento

Transformación de Transparencia: Simula cambios en la transparencia de la tinta fluorescente a lo largo del tiempo

Puntos de Innovación Técnica

Modelado Digital del Efecto Fluorescente: Primera parametrización de las características físicas de materiales fluorescentes para optimización de ataques adversariales
Estrategia de Ataque Multi-objetivo: Diseña diferentes funciones de pérdida para tareas de detección y clasificación
Consideración de Restricciones Físicas: Asegura mediante localización automática que las perturbaciones solo se apliquen en la superficie real de la señal
Adaptabilidad Ambiental: Considera factores como iluminación, distancia y ángulo en el mundo real

Configuración Experimental

Conjuntos de Datos

GTSRB: Conjunto de datos de referencia alemán de reconocimiento de señales de tráfico
CTSRD: Base de datos china de reconocimiento de señales de tráfico

Métricas de Evaluación

Tasa de Éxito del Ataque (ASR):

ASR = (1/N) Σ I_{F(x,untri)=y & F(x,tri)≠y}(x)

Métodos de Comparación

Se evaluaron 10 modelos diferentes:

Detectores: YOLOv3, Faster R-CNN
Clasificadores: CNN, Inception v3, MobileNet v2, GoogleNet, ResNet50, ResNet101, VGG13, VGG16

Detalles de Implementación

Tamaño de entrada: 416×416 para detectores, 32×32 para clasificadores (299×299 para Inception v3)
Número de consultas: 1500
Parámetros PSO: 30 iteraciones, 5 reinicios aleatorios
Equipos de experimentos físicos: Tesla Model Y, múltiples lámparas UV de diferentes potencias (40W-120W)

Resultados Experimentales

Resultados Principales

Tasa de Éxito del Ataque en el Mundo Físico

Desempeño de ASR bajo diferentes condiciones de iluminación ambiental:

Iluminación Ambiental (Lux)	Ataque de Generación (YOLOv3)	Ataque de Ocultamiento (YOLOv3)	Ataque de Clasificación Errónea (ResNet50)
200	98,31%	91,59%	100%
500	98,72%	83,64%	99,35%
1000	95,22%	69,19%	94,26%
2000	94,06%	53,81%	90,59%
3000	89,63%	31,48%	84,12%

Tasa de Éxito del Ataque en el Mundo Digital

En configuraciones de caja negra, la ASR de la mayoría de modelos se acerca al 100%, con tasas de éxito de ataque transferido entre 69%-95%.

Experimentos de Ablación

Impacto de Factores Ambientales

Distancia y Ángulo: ASR del modelo CNN >91% en todas las distancias, Inception v3 disminuye a 70%-77% a distancias lejanas
Potencia de Lámpara UV: ASR de Inception v3 mínimo del 77% a 40W, >97% a 120W para todos los modelos
Impacto de Velocidad del Vehículo: ASR >93% a velocidades <10 km/h, disminución significativa en algunos modelos por encima de 15 km/h
Distancia de Lámpara UV: ASR superior al 81% incluso a 8 metros de distancia

Análisis de Impacto de Parámetros

Radio: Radios más grandes generalmente producen ASR más alta
Color: C(255,255,0) y C(127,127,255) muestran mejor desempeño
Posición: Las regiones centrales de la imagen tienen la tasa de éxito de ataque más alta
Forma: Los círculos son más efectivos que líneas y curvas

Capacidad de Elusión de Defensas

Se probaron 5 métodos de defensa principales:

Método de Defensa	ResNet50	Inception v3	Disminución Promedio de ASR
Suavizado de Imagen	-0,93%	+0,39%	Impacto Mínimo
Compresión de Características	-1,65%	-0,39%	<2%
Aleatorización de Entrada	-0,29%	-0,21%	<1%
Entrenamiento Adversarial	-0,84%	+0,42%	Impacto Mínimo
Dropout Defensivo	-2,30%	-2,03%	Más Efectivo (2-3%)

Trabajo Relacionado

Clasificación de Ataques Adversariales Físicos

Ataques Basados en Pegatinas: Fáciles de desplegar pero visualmente sospechosos, atacan indiscriminadamente
Ataques Basados en Señales Ópticas:
- Luz Visible (Proyección/Láser): Fácil de rastrear
- Láser Infrarrojo: Se puede bloquear con filtros IR
Ataques Basados en Señales Acústicas: Se bloquean fácilmente mediante mecanismos de protección de señales físicas

Ventajas de Este Artículo

En comparación con métodos existentes, FIPatch posee:

Mayor sigilo (tinta transparente)
Mayor capacidad de resistencia a defensa (emisión de luz visible)
Mecanismo de activación flexible (control por luz UV)
Mejor practicidad (materiales de bajo costo)

Conclusiones y Discusión

Conclusiones Principales

Viabilidad del Ataque con Tinta Fluorescente: Primera demostración de que los materiales fluorescentes pueden atacar efectivamente sistemas TSR
Alta Tasa de Éxito del Ataque: Logra una tasa de éxito del 98,31% en condiciones de baja iluminación
Fuerte Capacidad de Elusión de Defensas: Los métodos de defensa existentes son básicamente inefectivos, reduciendo como máximo la tasa de éxito en 2-3%
Amenaza Práctica Real: Demuestra una amenaza de seguridad significativa en entornos reales

Limitaciones

Sensibilidad a la Luz Ambiental: La luz ambiental fuerte (>1000 Lux) reduce significativamente la efectividad del ataque
Evaluación a Nivel de Sistema Insuficiente: Las pruebas se realizan principalmente a nivel de componentes de IA, faltando evaluación de sistemas de conducción autónoma completos
Limitación de Distancia de Detección: Requiere distancias relativamente cercanas para un ataque efectivo

Direcciones Futuras

Aplicación en Superficies Curvas: Investigar desafíos de aplicación de materiales fluorescentes en superficies curvas
Mecanismos de Defensa: Desarrollar métodos de defensa efectivos contra FIPatch
Percepción Cooperativa Multi-vehículo: Mejorar la robustez del sistema utilizando percepción cooperativa entre vehículos

Evaluación Profunda

Fortalezas

Innovación Fuerte: Primera introducción de tinta fluorescente como vector de ataque adversarial, abriendo una nueva dirección de investigación
Método Completo: Marco de ataque completo desde modelado teórico hasta despliegue práctico
Experimentos Exhaustivos: Evaluación integral en mundos digitales y físicos, considerando múltiples factores ambientales
Alto Valor Práctico: Revela nuevas vulnerabilidades de seguridad en sistemas TSR, con importante significado de seguridad

Deficiencias

Consideraciones Éticas: Aunque se declara aprobación ética, el método de ataque podría ser utilizado maliciosamente
Investigación de Defensa Insuficiente: Los esquemas de defensa propuestos son relativamente simples, careciendo de investigación profunda
Análisis de Costos Faltante: No analiza detalladamente el equilibrio entre costo de ataque y dificultad de detección
Estabilidad a Largo Plazo: La estabilidad a largo plazo de la tinta fluorescente e impacto ambiental no se discuten suficientemente

Impacto

Contribución Académica: Proporciona nuevo vector de ataque y método de modelado para investigación de ataques adversariales
Advertencia de Seguridad: Alerta a desarrolladores de sistemas de conducción autónoma sobre nuevas amenazas de ataques físicos
Impulso Tecnológico: Puede promover el desarrollo de sistemas TSR más robustos y mecanismos de defensa

Escenarios Aplicables

Evaluación de Seguridad: Evaluar la seguridad y robustez de sistemas TSR
Investigación de Defensa: Servir como método de ataque de referencia para desarrollar y probar mecanismos de defensa
Endurecimiento de Sistemas: Guiar el diseño seguro y despliegue de sistemas de conducción autónoma

Referencias

El artículo cita ampliamente trabajos relacionados, incluyendo principalmente:

Teoría fundamental de muestras adversariales (Goodfellow et al., Carlini & Wagner, etc.)
Métodos de ataques adversariales físicos (Eykholt et al., Song et al., etc.)
Sistemas de reconocimiento de señales de tráfico (YOLO, Faster R-CNN, etc.)
Mecanismos de defensa (Cohen et al., Madry et al., etc.)

Evaluación General: Este es un artículo de investigación de seguridad de alta calidad que propone un método de ataque innovador y realiza verificación experimental exhaustiva. Aunque presenta algunas limitaciones, su valor académico e importancia práctica son significativos, contribuyendo positivamente al avance de la investigación de seguridad en sistemas de conducción autónoma.