PatchMap

PatchMap数据集的构建采用了系统化的空间扫描方法，通过在ImageNet-1K验证集的每张图像上以步长为2的密集网格（共12,544个位置）粘贴10种预定义的对抗性补丁，并评估三种不同尺寸（50×50、25×25和10×10像素）的补丁效果。总计执行了约1.1亿次前向传播，覆盖了图像中几乎所有可能的补丁位置，确保了数据集的全面性和代表性。所有评估均基于标准的ResNet-50模型，记录了每个位置的预测类别和softmax置信度，数据以分片形式存储，便于按需访问和分析。

PatchMap数据集的特点在于其空间详尽性，首次系统性地揭示了对抗性补丁在自然图像中的‘热点’区域，即小至2%图像面积的补丁即可导致模型高置信度误分类的区域。数据集包含超过1亿条位置条件预测记录，支持跨模型、跨补丁尺寸的脆弱性分析，并提供了统一的攻击成功率（ASR）和置信度下降（∆conf）定义。此外，数据集还公开了基于分割的补丁放置启发式方法，显著提升了攻击效果，为位置感知防御研究提供了坚实基础。

PatchMap数据集的使用方法包括生成攻击成功率热图、分析置信度下降模式以及评估补丁尺寸与攻击效果的权衡关系。研究人员可通过下载分片数据（.npz格式）获取特定图像、补丁和尺寸的组合，利用内置工具绘制空间脆弱性分布或计算跨模型转移性能。数据集还支持零梯度启发式方法的验证，例如通过现成的语义分割掩模快速定位高脆弱性区域。所有评估协议均附带95%置信区间，确保结果统计稳健，代码库提供完整的复现流程，可在单GPU环境下2小时内完成全部分析。

PatchMap数据集由以色列理工学院（Technion）的研究团队于2025年提出，旨在系统性地评估对抗性补丁在图像空间中的位置敏感性。该数据集基于ImageNet-1K验证集，通过执行超过1.5亿次前向传播，首次构建了空间详尽的对抗补丁位置基准。研究团队包括Shai Kimhi、Avi Mendelson和Moshe Kimhi等学者，其核心研究问题聚焦于揭示深度视觉模型中存在的空间脆弱性模式，即特定图像区域（称为“热点”）对小至2%图像面积的对抗补丁具有显著敏感性。这一工作为理解对抗攻击的空间动力学提供了量化工具，并对计算机安全、自动驾驶等领域的防御系统设计产生深远影响。

PatchMap主要解决对抗性补丁攻击中位置优化这一关键挑战。传统方法多关注补丁纹理设计，而忽略位置选择对攻击效果的影响。该数据集构建面临三重技术难点：1)计算复杂度控制，需在112×112网格上评估三种尺寸补丁，总计算量达1.9×10^10次潜在组合；2)跨架构泛化性验证，需保证基准对不同模型（包括对抗训练网络）的普适性；3)数据可解释性设计，需建立攻击成功率（ASR）与置信度下降（∆conf）的标准化度量体系。此外，如何将语义分割等零梯度线索融入位置选择策略，也是该研究突破的重要技术壁垒。

PatchMap数据集在对抗性机器学习领域具有重要的应用价值，特别是在评估和优化对抗性补丁攻击的放置策略方面。该数据集通过系统性地评估超过1.5亿次前向传递，揭示了图像中对抗性补丁放置的“热点区域”，这些区域即使在小尺寸补丁（仅占图像的2%）的情况下，也能显著降低模型的分类置信度或导致错误分类。研究人员可以利用PatchMap来验证不同补丁放置策略的有效性，从而优化攻击效果或设计更鲁棒的防御机制。

PatchMap解决了对抗性补丁攻击研究中长期忽视的空间位置优化问题。传统的对抗性补丁研究多集中于补丁的外观设计（如纹理、形状和颜色），而忽略了补丁放置位置对攻击效果的影响。PatchMap通过大规模的实验数据，量化了不同位置、补丁尺寸和模型架构下的攻击成功率和置信度下降情况，为研究人员提供了系统性的基准。这不仅填补了对抗性补丁研究中的空白，还为设计位置感知的防御策略提供了数据支持。

PatchMap的发布推动了对抗性补丁研究的多项衍生工作。例如，基于PatchMap的“分割引导放置启发式方法”利用现成的语义分割掩模快速定位高脆弱性区域，显著提升了攻击成功率。此外，PatchMap还为位置感知防御策略的设计提供了数据基础，例如通过对抗性训练或空间注意力机制来增强模型对特定区域的鲁棒性。这些工作进一步拓展了对抗性补丁研究的深度和广度。