NoPain: No-box Point Cloud Attack via Optimal Transport Singular Boundary¶

会议: CVPR 2025
arXiv: 2503.00063
代码: https://github.com/cognaclee/nopain
领域: 3D视觉
关键词: 点云对抗攻击、无盒攻击、最优传输、奇异边界、可迁移性

一句话总结¶

NoPain 提出首个无盒（no-box）点云对抗攻击方法，利用半离散最优传输（OT）计算从噪声到特征空间的映射，在映射的奇异边界（非可微点）处采样生成对抗扰动，无需目标分类器或替代模型，在 PointNet 上 ASR 达 100%，生成速度仅 28ms/样本。

领域现状：点云对抗攻击分为白盒（需要目标模型梯度）、黑盒（需要查询目标模型）和迁移攻击（需要替代模型）。所有现有方法都依赖某种形式的分类器信息。
现有痛点：(1) 迁移攻击（如 AdvPC、SI-ADV）的成功率在跨架构时大幅下降（13-54%）；(2) 需要迭代优化，生成速度慢（6-12s/样本）；(3) 替代模型选择影响攻击效果。
核心矛盾：依赖分类器信息的攻击本质上受限于分类器的特异性——对一个模型有效的扰动未必对另一个有效。
本文目标：完全不使用任何分类器信息，仅利用数据流形的几何性质生成对抗样本。
切入角度：最优传输理论中的奇异边界（singular boundary）——Brenier 势函数在某些超平面上不可微，这些位置对应数据流形上的不稳定区域，自然是分类器的脆弱点。
核心 idea：OT 计算超平面集 → 二面角检测奇异边界 → 沿奇异边界采样生成对抗样本。

预训练编码-解码器（PointFlow 或 Point-Diffusion）提取干净点云的特征 → 半离散 OT 求解器计算 Brenier 势 → 梯度下降优化超平面参数 → 二面角检测奇异边界 → 沿奇异边界扩展扰动 → 解码器重建对抗点云。

半离散最优传输求解
- 功能：计算从连续噪声分布到离散特征集的最优映射
- 核心思路：Brenier 势 \(u_h(x) = \max_i \{\langle y_i, x \rangle + h_i\}\)，通过梯度下降优化能量 \(E(h) = \sum_i (w_i(h) - 1/N)^2\) 使每个目标点获得等面积权重
- 设计动机：OT 映射的不可微点（超平面交叉处）恰好是分类不确定区域——在这些点附近的微小扰动可以导致分类翻转
奇异边界检测
- 功能：从 OT 映射中找到对抗性最强的扰动位置
- 核心思路：计算相邻超平面的二面角 \(\theta_{ik} = \frac{\langle y_i, y_{ik} \rangle}{||y_i|| \cdot ||y_{ik}||}\)，二面角小于阈值 \(\tau\) 的超平面交线即为奇异边界——此处转向最终走向不同类别的概率最高
- 设计动机：二面角小意味着两个超平面几乎平行——在它们的交线附近微小位移就会跨越不同的 Voronoi 区域
扩展扰动生成
- 功能：沿奇异边界方向生成具体的对抗点云
- 核心思路：\(\hat{y} = \lambda_i y_i + \lambda_{ik} y_{ik}\)，通过平滑 OT 映射在两个超平面间插值
- 设计动机：直接在奇异点采样太稀疏，扩展到边界附近的带状区域增加覆盖率

无需训练——仅需预训练的点云编解码器（PointFlow 或 Point-Diffusion）。超参数 K=11, \(\tau\)=1.6 (PF) / 0.9 (PD)。

方法	PointNet ASR↑	DGCNN ASR↑	PCT ASR↑	生成速度
AdvPC	13.0%	23.3%	15.8%	6.2s
SI-ADV	54.5%	67.3%	91.3%	8.9s
NoPain-PD	100%	88.7%	85.7%	0.026s