本文介紹了一項由北航范肇心助理教授團隊完成，發表于2025年最新arXiv的研究成果 —— 一種完全黑盒、不可察覺的人體姿態估計攻擊方法UBA。該方法首次實現在無需模型結構與梯度信息的前提下，僅通過有限API查詢，即可對數字人生成系統造成結構性干擾。UBA從生成模型的潛在空間出發，引入變分自編碼器（VAE）驅動的擾動策略，在視覺保持無損的同時，誘導人體姿態估計輸出顯著偏離真實，誤差最高提升達114.94%，遠超現有白盒與擴散攻擊方法。該方法自然支持低資源部署，計算效率高，且攻擊噪聲不可見，展示出對主流EHPS模型（如SMPLer-X、OSX、Hand4Whole）高度通用的攻擊能力。

論文題目： Black-box Adversaries from Latent Space: Unnoticeable Attacks on Human Pose and Shape Estimation 論文鏈接： https://arxiv.org/abs/2505.12009

高質量的人體姿態與形狀估計（EHPS）

是數字人生成系統的核心支撐，廣泛應用于虛擬現實、數字直播、人機交互與動作捕捉等前沿場景。近年來，隨著大規模預訓練模型的快速發展，EHPS技術在表達力和精度方面取得了顯著進展。然而，現有研究幾乎全部聚焦于精度優化，而對這類系統的安全性與魯棒性關注甚少。特別是在現實部署場景中，EHPS模型常作為黑盒服務被調用，缺乏內部可控性，這使其極易成為安全攻擊的潛在靶點。

雖然已有部分工作（如TBA[1]等）嘗試對EHPS系統進行攻擊分析，但它們多為白盒攻擊，依賴模型內部結構與梯度信息，且往往產生明顯的視覺擾動，不具備實際攻擊可行性。與此同時，數字人技術正加速進入大眾生活，驅動虛擬社交與多模態交互的核心環節，其對內容真實度與視覺可信性的依賴極高。一旦EHPS系統遭到不可察覺的攻擊，將直接影響數字人的行為表達、社交互動甚至公眾認知，帶來巨大的倫理與安全風險。

為應對這一挑戰，研究團隊提出了一種面向EHPS系統的不可察覺黑盒攻擊框架UBA（Unnoticeable Black-box Attack），以揭示當下數字人生成系統中的潛在安全漏洞。該方法完全基于輸出結果進行優化，無需訪問模型結構或梯度信息，具備真實世界可執行性。同時，UBA巧妙地在圖像的潛在空間中注入擾動，借助預訓練生成模型的解碼器特性實現圖像重構，從而在不破壞圖像視覺質量的前提下，顯著干擾EHPS輸出結果。此外，該方法設計了高效的像素空間優化機制，顯著降低計算成本，確保攻擊可擴展性。

由于UBA完全基于查詢反饋實現，因此天然支持在測試階段進行動態優化。研究團隊進一步引入一種任務特定的多任務損失機制，平衡攻擊有效性與圖像保真性，使UBA在低查詢預算條件下亦能取得強攻擊表現。實驗顯示，UBA在多個主流EHPS模型上均可將估計誤差提升50%至115%，在視覺上卻幾乎無法察覺，清晰揭示了EHPS系統在黑盒攻擊下的系統性脆弱性。

綜上所述，該研究不僅填補了EHPS系統安全性研究的空白，也為未來數字人平臺的安全評估提供了基礎工具，具有極高的理論價值與現實影響力。

二、方法

方法概述：UBA分為兩個階段。在初始化階段，輸入圖像通過預訓練VAE編碼為潛在向量，加入高斯擾動后生成初始對抗樣本。在優化階段，該對抗樣本在像素空間進一步迭代更新，通過多任務損失聯合優化攻擊效果與圖像保真度，最終生成不可察覺但能誤導EHPS模型的對抗圖像。整個過程無需模型結構信息，僅依賴少量黑盒查詢，攻擊高效且現實可行。 2.1 問題形式化

為明確提出的黑盒對抗攻擊方法，研究團隊首先將問題形式化：

設輸入為一張圖像 ，EHPS 模型 的目標是從中估計人體的三維姿態與形狀參數，記為：

其中：

• 表示全身的姿態參數（包括身體、雙手與下頜）；

• 表示人體的個體形狀；

• 表示面部表情特征。

攻擊的目標是生成一個不可察覺的對抗圖像 ，使得其預測輸出與原始輸出盡可能偏離，即最大化：

其中 為感知擾動的限制閾值，用于確保對抗圖像 在視覺上與原圖 幾乎無差異。該問題在黑盒設定下求解，攻擊者僅可通過有限次數調用模型 的輸出，而無法訪問其參數或梯度信息。

2.2 初始化階段

UBA 方法的初始化階段旨在構造具有攻擊性的初始圖像，同時保持高感知保真度與低訓練資源消耗。為此，研究團隊引入了一個預訓練好的變分自編碼器（VAE），并提出了一種高效的潛空間擾動策略。

具體而言，輸入圖像 首先被編碼為潛在表示：

然后在 上注入一個額外的高斯擾動 ，構造擾動潛向量：

其中 是擾動強度控制超參數。

該潛在表示被輸入解碼器 得到擾動圖像：

為了分析擾動在圖像空間的影響，研究團隊對 進行一階泰勒展開：

因此，像素空間擾動近似為：

EHPS 模型 的預測也可一階展開為：

結合上述兩式，可得整體擾動影響上界：

為了在最小擾動 下實現最大預測偏移，研究者建議將 的方向對齊至雅可比矩陣組合項 的最大奇異值方向，即選擇：

從而擾動幅度的理論下界為：

其中 為誤差顯著閾值。

該初始化階段僅需一次前向采樣和方向控制，即可生成在視覺上幾乎無異、但能顯著誤導 EHPS 模型的圖像，為后續的像素空間優化提供了高質量起點，具有高效、穩定、可遷移的特點。

2.3 優化階段

為進一步提升對抗擾動的有效性，UBA 在初始化生成的圖像基礎上，采用迭代優化策略在像素空間中細化擾動。該過程受 Projected Gradient Descent (PGD) 啟發，但避免了在高維潛空間中進行代價昂貴的雅可比反向傳播，從而實現計算效率與攻擊強度的平衡。

首先，初始像素擾動由 VAE 解碼器輸出確定：

隨后，通過迭代方式更新像素空間中的擾動 ，如下：

梯度項可展開為：

此處 為像素空間的學習率， 表示攻擊優化目標函數。為了同時提升攻擊有效性與圖像不可察覺性，研究團隊提出了如下的多任務損失函數：

其中，第一項為語義級攻擊損失（誤導姿態估計），第二項為像素級正則項，用于限制擾動的感知強度。

最終擾動更新表達為：

其中， 是用于平衡攻擊強度與擾動不可察覺性的權重超參。

值得注意的是，該優化階段完全在黑盒設定下進行：攻擊者只能通過模型的 API 接口獲取預測輸出，無法訪問內部梯度信息。為此，UBA 設計了對查詢次數 的嚴格上限，以降低被檢測的風險并減輕計算負擔。

總結而言，此階段在像素空間直接操作擾動（復雜度），有效避免了在潛空間進行雅可比更新所帶來的高計算開銷（復雜度），大幅提高攻擊效率，并確保所生成圖像在視覺上保持自然與真實。

三、實驗

作者在多個主流 EHPS 模型和數據集上對 UBA 框架進行了全面評估。與 PGD[2]、TBA[1]、ACA[3]、DiffAttack[4] 等方法相比，UBA 在 SMPLer-X、OSX、Hand4Whole 等模型上顯著提升預測誤差，最高達 114.94%，且幾乎不影響圖像質量。

論文還開展了詳盡的消融實驗，分析了擾動注入位置（像素空間 vs 潛空間）、優化策略、正則項設計對攻擊性能與資源開銷的影響。同時評估了擾動強度與查詢次數對攻擊效果的變化趨勢。

結果表明，UBA 即便在僅 3 次模型查詢的限制下仍能實現穩定有效的攻擊，顯示出良好的實用性和部署潛力。

這里展示的是部分關鍵實驗結果，更多細節和完整分析請參閱原論文。

3.1 與最先進方法的比較

數據結果：誤差增長率以灰色標注。每個設置下的最大誤差加粗最大誤差增長率加下劃線形式突出顯示。

不同對抗樣本的數字人生成效果可視化。 3.2 不同噪聲注入策略的影響

不同噪聲注入策略的性能結果。（A）像素空間擾動后迭代更新；（B）潛空間擾動解碼生成，無更新；（C）潛空間擾動，并迭代優化。 3.3 不同噪聲強度的影響

不同噪聲注入強度對于最終攻擊性能的影響。3.4 不同查詢次數的影響

不同EHPS模型API查詢次數對于最終攻擊性能的影響。 四、總結與展望

本文提出了一種全新的不可察覺黑盒攻擊方法 UBA，結合預訓練 VAE 模型的潛空間結構與像素空間優化策略，實現了對 EHPS 模型的高效擾動與精確誤導。該方法無需訪問模型內部結構，僅通過有限查詢即可在保持圖像外觀不變的前提下，顯著影響人體姿態與形狀預測結果，體現出強大的攻擊能力與現實可行性。

實驗結果驗證了 UBA 在多個模型和設置下的高效性與通用性，同時揭示了當前 EHPS 系統在黑盒設定下的潛在安全隱患。盡管本方法旨在促進對人體建模系統安全性的理解，其潛在濫用風險也提示我們亟需構建更魯棒的數字人生成機制。

期望相關研究可進一步聚焦于數字人系統的防御機制設計、跨模態攻擊模型擴展，以及在更廣泛人機交互與生成式 AI 場景中的安全性評估，以推動可信數字人技術的健康發展。

參考文獻

[1] Li Z, Jin Y, Shen F, et al. Unveiling hidden vulnerabilities in digital human generation via adversarial attacks[J]. arXiv preprint arXiv:2504.17457, 2025.

[2] Liu F, Zhang S, Wang H, et al. Local imperceptible adversarial attacks against human pose estimation networks[J]. Visual Computing for Industry, Biomedicine, and Art, 6(1), 2023.

[3] Chen Z, Li B, Wu S, et al. Content-based unrestricted adversarial attak[J]. Advances in Neural Information Processing Systems, 2023, 36: 51719-51733.

[4] Chen J, Chen H, Chen K, et al. Diffusion models for imperceptible and transferable adversarial attack[J]. IEEE Transactions on Pattern Analysis and Machine Intelligence, 2024.

llustration From IconScout By Scout Stores

-The End-

掃碼觀看！

本周上新！

“AI技術流”原創投稿計劃

TechBeat是由將門創投建立的AI學習社區（www.techbeat.net）。社區上線600+期talk視頻，3000+篇技術干貨文章，方向覆蓋CV/NLP/ML/Robotis等；每月定期舉辦頂會及其他線上交流活動，不定期舉辦技術人線下聚會交流活動。我們正在努力成為AI人才喜愛的高質量、知識型交流平臺，希望為AI人才打造更專業的服務和體驗，加速并陪伴其成長。

投稿內容

// 最新技術解讀/系統性知識分享 //

// 前沿資訊解說/心得經歷講述 //

投稿須知

稿件需要為原創文章，并標明作者信息。

我們會選擇部分在深度技術解析及科研心得方向，對用戶啟發更大的文章，做原創性內容獎勵

投稿方式

發送郵件到

melodybai@thejiangmen.com

或添加工作人員微信（yellowsubbj）投稿，溝通投稿詳情；還可以關注“將門創投”公眾號，后臺回復“投稿”二字，獲得投稿說明。

關于我“門”

將門是一家以專注于數智核心科技領域的新型創投機構，也是北京市標桿型孵化器。 公司致力于通過連接技術與商業，發掘和培育具有全球影響力的科技創新企業，推動企業創新發展與產業升級。

將門成立于2015年底，創始團隊由微軟創投在中國的創始團隊原班人馬構建而成，曾為微軟優選和深度孵化了126家創新的技術型創業公司。

如果您是技術領域的初創企業，不僅想獲得投資，還希望獲得一系列持續性、有價值的投后服務，歡迎發送或者推薦項目給我“門”:

bp@thejiangmen.com

點擊右上角，把文章分享到朋友圈