傅里叶分解革新AI安全：对抗扰动净化新思路 | AI门户

type

status

date

slug

summary

引言：AI安全的隐形战场——对抗样本的挑战

随着人工智能（AI）技术的飞速发展，特别是大模型（LLM）和深度学习在图像识别、自动驾驶等关键领域的广泛应用，其安全性和鲁棒性问题日益凸显。其中，对抗样本构成了重大威胁：这些经过微小、人眼难以察觉的扰动修改的图像，却能轻易欺骗顶尖的AI模型，导致灾难性后果。如何有效“净化”这些对抗样本，恢复图像的原始信息，已成为AI安全领域，乃至迈向通用人工智能（AGI）道路上亟待解决的核心问题。最新的AI资讯显示，来自中国科学院大学和中国科学院计算技术研究所的学者们在ICML 2025会议上提出了一种创新性的解决方案，从频域视角出发，利用傅里叶分解技术为对抗净化带来了新曙光。更多AI前沿进展，欢迎访问AI门户网站 https://aigc.bar 获取最新AI日报和深度分析。

对抗净化的困境：时域操作的“两难”

现有的对抗净化技术，尤其是基于扩散模型的方法，试图通过在像素空间（时域）引入噪声来“淹没”对抗扰动，再通过逆向过程恢复出干净图像。这种策略在一定程度上能够削弱对抗扰动，但其核心痛点在于无法将干净的图像语义信息与对抗扰动进行有效解耦。

这就好比在清理一件沾染了微小污渍的珍贵艺术品时，如果采用过于粗暴的“全面清洗”，很可能在去除污渍的同时，也损害了艺术品本身的纹理和色彩。同理，时域净化方法在消除对抗扰动时，往往会不可避免地破坏原始图像的语义内容和结构信息，导致净化后的图像与原始干净图像在观感和模型识别上都产生偏差。这种“投鼠忌器”的困境，限制了现有净化技术的实际效果和应用范围。

频域新思路：傅里叶分解揭示扰动本质

为打破时域处理的局限，研究者们将目光投向了频域分析。他们巧妙地运用傅里叶分解技术，将图像分解为幅度谱和相位谱。幅度谱反映了图像中不同频率成分的强度，而相位谱则包含了图像的结构和位置信息。

通过对比分析干净图像与对抗图像在频域的差异，一个关键的实验现象浮出水面：对抗扰动更倾向于破坏图像的高频幅度和相位谱信息，而低频信息则对对抗扰动表现出更强的鲁棒性。

这一发现至关重要。图像的低频成分通常承载了其主要的轮廓和语义内容（例如，一张猫的图片，其低频信息决定了它看起来像“猫”），而高频成分则更多对应于图像的细节、纹理和边缘。对抗攻击正是通过在高频区域“做手脚”，以最小的视觉代价达到最大的欺骗效果。理解了这一点，就为我们精准打击对抗扰动，同时最大限度保留有用信息提供了理论依据。人工智能的进步离不开这样的深度探索，更多关于AI模型和提示词（Prompt）工程的讨论，可以在 https://aigc.bar 找到。

FreqPure：基于低频先验的扩散模型净化

基于上述洞察，研究团队提出了一种名为FreqPure的新型对抗净化方法。其核心思想是在扩散模型的逆向生成（去噪）过程中，注入原始对抗样本的低频幅度谱信息作为先验知识，以引导干净图像的生成。

具体而言，该方法包含以下关键步骤： 1. 傅里叶变换：将输入的对抗样本（或带噪样本）转换到频域。 2. 低频幅度谱保持：构造一个低通滤波器，将估计图像的低频幅度谱成分替换为输入样本（即对抗样本，其低频部分被认为是相对干净的）的低频幅度谱成分。由于自然图像的能量主要集中在低频，保留少量低频幅度谱信息便能保留大部分图像内容。 3. 低频相位谱投影：与幅度谱不同，相位谱在所有频率都可能受到扰动影响。因此，研究者选择将估计图像的低频相位谱投影到输入图像低频相位谱的一个邻近范围内，而非直接替换，以更稳健地恢复结构信息。 4. 逆傅里叶变换与采样：结合更新后的幅度和相位谱，通过逆傅里叶变换回到时域，并进行采样得到更纯净的图像状态。

通过这种方式，FreqPure能够巧妙地利用对抗样本自身相对可靠的低频信息来指导净化过程，既有效清除了盘踞在高频区域的对抗扰动，又最大限度地保留了图像原有的核心语义，实现了“鱼与熊掌兼得”。这对于提升当前主流AI模型（如各类基于Transformer架构的LLM）的安全性具有重要意义。

实验效果与深远影响

FreqPure方法在CIFAR10和ImageNet等标准数据集上进行了广泛测试，并与当前最先进的（SOTA）对抗净化方法进行了对比。实验结果（如表1、表2所示的Standard Accuracy和Robust Accuracy指标）表明，该方法在各项指标上均取得了显著提升。可视化结果（如图3、图4所示）也直观地证明，经过FreqPure净化的图像在视觉上与原始干净图像更为相似，其数据分布也更接近原始分布。

这项研究的意义不仅在于提供了一种更高效的对抗净化工具，更在于它为理解和应对AI安全挑战开辟了新的视角。它证明了从频域入手分析和处理对抗扰动的巨大潜力。尤其在自动驾驶、医疗影像诊断、金融风控等对AI系统可靠性要求极高的领域，此类技术能够显著降低潜在风险，增强系统的整体安全性和可信度。该工作的代码也已开源，方便AI社区进一步研究和应用，推动AI变现和技术普及。

结论与展望：迈向更安全的AGI时代

ICML 2025 Spotlight的这项工作，通过傅里叶分解的视角，为对抗净化问题提供了深刻的洞见和有效的解决方案。它清晰地揭示了对抗扰动在频域的分布特性，并据此设计了巧妙的净化策略，在去除扰动和保留语义信息之间取得了更优的平衡。

尽管如此，正如研究者所言，寻找更高效的图像分解方法，以便更彻底地解耦对抗扰动与图像语义，以及提供更深层次的理论解释，仍是未来值得探索的方向。我们期待在AI安全领域看到更多这样的创新研究，为构建更强大、更可靠、更值得信赖的人工智能系统添砖加瓦。对AI最新动态、行业新闻感兴趣的朋友，可以持续关注 https://aigc.bar，获取一手AI资讯。