本论文提出了 PatchCleanser，一种针对图像分类模型对抗补丁攻击的可认证鲁棒防御方法。对抗补丁攻击通过在图像的一个受限区域内注入精心设计的像素（即补丁）来诱导模型误分类，这种攻击可以在物理世界中通过打印并粘贴补丁到目标物体上实现，对计算机视觉系统构成实际威胁。PatchCleanser 的核心思想是在输入图像上执行两轮像素掩码操作，以中和对抗补丁的影响。这种基于图像空间的操作使得 PatchCleanser 可以与任何最先进的图像分类器兼容，同时保持高分类精度。更重要的是，论文证明了在威胁模型内，PatchCleanser 能够对任意自适应白盒攻击者保证对某些图像始终预测正确的类别标签，即可认证鲁棒性。实验在 ImageNet、ImageNette、CIFAR-10、CIFAR-100、SVHN 和 Flowers-102 数据集上进行，结果表明 PatchCleanser 在干净图像上的准确率与最先进模型相当，并且在可认证鲁棒性上显著优于先前工作。例如，在 1000 类 ImageNet 数据集上，针对图像上任意位置 2% 像素大小的方形补丁，PatchCleanser 实现了 83.9% 的 top-1 干净准确率和 62.1% 的 top-1 可认证鲁棒准确率。该研究适合安全研究人员、计算机视觉工程师以及关注机器学习系统鲁棒性的从业者阅读。