On Adversarial Robustness of Trajectory Prediction for Autonomous Vehicles
0 摘要
轨迹预测是自动驾驶汽车安全规划和导航的重要组成部分。然而,很少有研究对轨迹预测的对抗鲁棒性进行分析,也没有研究最坏情况预测是否仍然能导致安全规划。为了弥补这一差距,我们提出了一种新的对抗攻击方法,通过干扰正常的车辆轨迹以最大限度地提高预测误差,研究了轨迹预测模型的对抗鲁棒性。我们在三个模型和三个数据集上的实验表明,对对抗样本的预测增加了超过150%的预测误差。我们的案例研究表明,如果敌方驾驶车辆沿着敌方轨迹接近目标自动驾驶汽车,自动驾驶汽车可能会做出不准确的预测,甚至做出不安全的驾驶决策。我们还通过数据增强和轨迹平滑来探索可能的缓解技术。
1 结论
本文首次对轨迹预测的对抗鲁棒性进行了分析。从我们提出的攻击评估来看,预测模型通常容易受到对抗干扰,并可能导致危险的AV(Autonomous vehicles)行为,如硬刹车。我们阐明了在艰难的情景或敌对的例子下评估最坏情况预测准确性的必要性。为了提高轨迹预测的对抗鲁棒性,提出了几种缓解方法。我们还建议利用地图信息和驾驶规则语义来指导预测。
2 介绍
准确的轨迹预测对于自动驾驶汽车的安全驾驶至关重要。许多研究提出了基于深度神经网络的轨迹预测模型。使用地面真相和预测轨迹之间的平均ℓ2距离作为关键指标。对于轨迹预测,如果对手能够控制靠近目标AV的车辆的位置,例如,将车辆沿着精心设计的轨迹行驶,那么对手就可以影响AV的轨迹预测和驾驶行为。
为了弥补这一差距,我们提出了一种新的白盒/黑盒对抗攻击车道预测方法,该方法在正态车道上增加了微小扰动,以最大限度地提高预测误差。
攻击轨迹预测在两个方面具有独特之处。敌对的轨迹是自然的,为了实现自然性,我们在优化求解过程中对摄动轨迹的物理性质(如速度和加速度)施加约束。其次,我们需要定义对攻击者进行轨迹预测具有语义吸引力的优化目标。因此,在我们的攻击设计中,我们将预测误差的不同度量作为优化目标,例如四个不同方向的平均横向/纵向偏差。
我们对10种不同的预测模型组合[18,20,30]和轨迹数据集[2,5,16]进行了评估。结果表明,对抗扰动可使预测误差显著提高约150%。62.2%的攻击导致预测偏离车道宽度的一半以上,这可能会显著改变AV的导航决策。我们还通过数据增强和轨迹平滑来探索对抗轨迹的减缓机制,这将攻击下的预测误差降低了28%。
•在考虑现实世界约束和影响的情况下,提出了AVs轨迹预测的首次对抗攻击和对抗鲁棒性分析。
•我们报告了对各种预测模型和轨迹数据集的对抗性攻击的彻底评估。
•我们通过数据增强和轨迹平滑来探索对抗实例的缓解方法。
3 背景及相关工作
自动驾驶汽车。作为感知模块的一部分,AV系统(如百度Apollo [3], Autoware[1])需要轨迹预测。它预测附近移动物体(如车辆和行人)的未来轨迹,这是规划模块的重要输入。因此,准确的轨迹预测对于自动驾驶汽车的安全驾驶至关重要。
轨迹预测模型。这些模型通常是深度神经网络,接受可观察道路主体在过去几秒钟内的空间坐标作为主要输入,并可以利用辅助特征(如车辆行驶方向)[11,20]、道路主体之间的交互[10,18,42]、物理动力学[30]、或者语义映射[13,25,27,30]来提高预测的准确性。现有的评价指标有平均位移误差(ADE)、最终位移误差(FDE)[9]、越野率[5]等。这些指标反映了测试数据集中轨迹预测的平均性能。相反,我们专注于对抗鲁棒性和轨迹预测算法的最坏情况性能。
对抗性稳健性。由于深度学习模型通常容易受到对抗例子的影响,各种研究对神经网络的对抗鲁棒性进行了分析[7,12,14,37,39]。在AV系统中,研究表明,目标检测[6,36]、目标跟踪[17]、车道检测[31]等任务都会受到扰动传感器信号或添加物理补丁的影响。然而,目前还没有针对轨迹预测的对抗鲁棒性进行研究。
车道预测测试。我们的目标是专门了解预测算法中的漏洞。Saadatnejad等人的[29]分析了轨迹预测算法中注意力机制的不准确性,但没有考虑对现实世界应用的安全影响。我们是第一家将对抗鲁棒性与现实世界系统(如自动驾驶汽车)连接起来的公司。
4 问题公式
在本节中,我们首先介绍轨迹预测任务的公式(§4.1)。然后,我们提出了攻击模型(§4.2)和攻击影响度量(§4.3)。
4.1 轨迹预测任务的公式
在本工作中,我们关注的是轨迹预测,它在固定的时间间隔内重复执行,并根据所有可观测对象(即车辆/行人)的当前/历史状态,在每个时间段进行一次预测。在每个时间段进行一次预测。首先,我们将对象i在t时刻的状态表示为
在每个时间帧,预测算法消耗目标的历史轨迹来预测其未来轨迹,这些轨迹被优化为具有与地面真实未来轨迹相同的分布。在时间框架t,我们将观测对象的数量表示为N,将历史轨迹和未来轨迹的时间框架数分别表示为LI和LO。
那么历史轨迹可以表示为:
4.2 攻击模型
在本文中,我们关注的设置是,对手驾驶一辆称为“另一辆车”(OV)沿着精心设计的轨迹。AV对OV进行观测,应用迭代轨迹预测,生成OV在每个时间帧的预测轨迹。对手控制OV的整个运行轨迹,使预测误差最大化或使AV采取不安全驾驶行为。图1展示了攻击的一个示例。通过沿着精心设计的轨迹行驶,OV似乎在AV的预测中改变了它的车道,而OV实际上是直线行驶的。在高误差预测的情况下,自动驾驶系统会采取刹车来产生自动驾驶系统。如果自动驾驶汽车在高速公路上刹车,这是一个严重的安全隐患,可能导致追尾事故。
在现实的攻击场景中,攻击者需要访问被攻击AV所配置的预测模型的所有参数,或者只访问被攻击AV所配置的预测模型的api,分别进行白盒和黑盒设置。当对手驾驶机OV接近AV并准备攻击时,他/她首先选择一个未来时段并预测该时段周围道路物体的轨迹,这是生成对抗轨迹的必要输入。然后,对抗车辆计算出未来一段时间的对抗轨迹,并在其上驾驶。虽然对抗轨迹的生成不能保证是准确的,但是攻击仍然是有效的,因为攻击影响由OV的轨迹本身决定。
此外,对抗轨迹必须满足以下要求,以确保自然。首先,轨迹遵循物理规律。物理特性(如速度、加速度)必须加以限制,以便真实的车辆能够再现轨迹。第二,轨迹代表的是正常驾驶行为,而不是无情驾驶。
4.3 评价指标
我们使用六个度量来评估预测误差。在对抗扰动后,如果预测误差显著增大,则攻击是有效的。(1)平均位移误差(ADE)。预测轨迹与地面真实轨迹之间的均方根误差(RMSE)的平均值。(2)最终位移误差(FDE)。最后一预测时间帧预测轨迹位置与地面真实轨迹位置之间的均方根误差。
然而,上述两个指标不足以评估有针对性攻击的影响。例如,为了将换道行为恶搞到左边(图1),预测的轨迹应该向左偏移。类似地,为了欺骗一个假加速度,偏差应该朝向纵向方向的前面。对于上述攻击,只有偏离某一特定方向的攻击才算作有效攻击影响。因此,我们设计了横向方向左右两侧和纵向方向前后两侧的平均偏差四个额外指标。度量标准正式定义为:
其中,t为时段ID, n为目标车辆ID,
p和s分别为预测车辆位置和地面真实车辆位置的二值向量,R为生成特定方向的单位向量的函数。纵向近似为
5 对抗样本生成
根据§3.1的定义,我们设计了针对轨迹预测的白盒和黑盒攻击。
扰动。我们通过在正常轨迹上添加小扰动来生成对抗轨迹。如图1所示,对LO长度的历史轨迹进行扰动,控制预测结果。由于只考虑当前时间帧的预测,我们将此攻击称为单帧攻击。然而,现实世界的安全问题通常发生在一个较长的时间序列。因此,我们将攻击推广到多帧,如图2所示。我们定义参数LP来表示攻击目标中考虑的预测数。给定LP,一个攻击场景包括LI+LO+LP−1时间帧。我们在第一个LI +LP−1时间帧上应用摄动,以便在{LI, LI +1,…, LI +LP−1}(共LP帧)由对抗轨迹控制。我们将这些LP时间帧的总预测误差最大化,从而发起多帧攻击。
目标。优化过程中有六个不同的目标函数,对应于六个预测误差指标。目标是对所有考虑的时间框架中的平均预测误差取反。
其中f表示计算六个度量之一的函数; n是目标车辆的ID(即,OV); P和F代表预测和未来的轨迹(§3.1)。
扰动的硬约束。如§3.2所述,扰动轨迹必须在物理上可行,并且不会执行危险的驾驶行为。为了执行这一要求,我们设计的约束,需要满足任何扰动。
首先,我们遍历测试数据集中的所有轨迹,以计算(1)标量速度,(2)纵向/横向加速度和(3)纵向/横向加速度导数的平均值(μ)和标准差(σ)。对于每个μ和σ,我们检查扰动轨迹的值不超过μ ± 3 σ。假设物理性质呈正态分布,该范围涵盖99.9%的数据集。此外,在检查物理约束时,扰动部分前后涉及三个地真轨迹点,因此正常轨迹和摄动轨迹的边界是自然的。
当约束被违反时,我们通过减少扰动来加强约束:给定扰动∆、目标车辆的历史轨迹Hn和约束函数C,计算最大系数0≤θ≤1,使扰动减小为θ∆,而θ∆满足所有约束条件。从形式上讲,θ的计算是一个优化问题:
白盒优化。我们设计了基于投影梯度下降(PGD)[22]的白盒优化方法。这个过程可以总结如下。
扰动随机初始化。在每次迭代中,我们首先对方程3后的当前扰动施加硬约束,然后对AV观测到的目标车辆n的原始历史轨迹施加扰动,然后对扰动轨迹数据执行LP次预测,并利用方程2计算迭代损失。接下来,该算法使用梯度下降对扰动进行更新。最后,该算法产生最佳扰动,使原场景转化为预测误差最大的最坏场景。
黑盒优化。基于梯度下降的轨迹预测方法并不总是可行的,因为轨迹预测模型可能存在不可微层。因此,我们设计了一种基于粒子群优化算法(PSO)[19]的黑盒攻击方法,该方法只需要模型推理API而不需要梯度。粒子群优化(PSO)是一种优化方法,它根据搜索空间中给定的质量度量迭代地改进候选解(即粒子)。在这种情况下,每个粒子都是一个摄动候选,质量测度由目标函数(式2)定义,搜索空间由硬约束(式3)定义。
这个黑盒不太懂,但是不是重点,没关系,先往后看吧。
6 缓解机制
从我们对攻击结果的观察来看(§6),对抗轨迹经常改变加速度,这在正常轨迹中是罕见的。基于这一现象,我们设计了如下的缓解方法。
数据扩充。由于训练数据集中的正态轨迹大多是平滑的,加速度稳定,对抗轨迹具有不同的数据分布。因此,我们应用数据增强技术在训练数据中注入对抗模式。在训练过程中,我们在随机选择的轨迹上加入随机扰动,且扰动满足§4中定义的硬约束条件。我们不采用对抗性训练,因为它的局限性,如训练成本高和攻击目标的一般性差。
列车时间轨迹平滑。由于不稳定的速度或加速度是对抗轨迹的一个关键模式,我们可以通过平滑轨迹部分地消除对抗效应。我们将轨迹平滑应用于训练和测试数据。平滑算法有多种选择,我们在实验中使用了一个简单的基于卷积的线性平滑器。这种缓解依赖于轨迹的物理特性,而不是梯度模糊处理[4]。因此,攻击者是否知道平滑的梯度并不重要。
测试时间检测和轨迹平滑。上述两种缓解方法修改了训练数据的分布,因此需要重新训练模型。为了使缓解更容易部署,我们提出了另一种方法,如果轨迹被检测为对抗轨迹,则该方法仅在推理时间对轨迹进行平滑。我们设计了两种检测对抗轨迹的方法。首先,SVM分类器[34]。我们提取加速度的大小和方向作为特征,以适应SVM模型,对正常和对抗轨迹进行分类。第二,基于规则的检测器。我们计算加速度随时间帧的方差,如果方差高于阈值,则检测到轨迹是对抗的。
7 实验
7.1 实验设置
数据集。我们总结了表1中使用的三个数据集的特征。我们根据数据集作者的建议选择历史轨迹长度(LI)和未来轨迹长度(LO)。我们从每个数据集随机选择100个场景作为测试用例。
模型。我们总结了我们在表2中使用的三个预测模型,它们是实验时开放源代码的最先进的模型。trajectory ++模型会产生多个有概率的预测轨迹(即多重预测),我们选择概率最高的轨迹作为最终结果。trajectory ++需要语义映射作为输入,这只在nuScenes数据集中可用。因此,我们准备了两个版本的轨迹++。trajectory ++(w/o map)在所有数据集上计算,而trajectory ++ (w/ map)在nuScenes上计算。对于每个模型和数据集的组合,我们使用微调的超参数来训练模型。
对于基于pgd的白盒攻击,我们使用学习速率为0.01的Adam优化器,并将最大迭代次数设置为100。对于基于pso的黑箱攻击,我们设置粒子数为10,惯性权重为1.0,加速度系数为(0.5,0.3),最大迭代次数为100次。为了缓解,我们使用基于卷积的线性平滑器进行轨迹平滑,并使用scikit-learn[26]中的SVM实现进行异常检测。更多细节见附录。开源代码:https://github.com/zqzqz/AdvTrajectoryPrediction。
7.2 实验结果
一般结果。对于每个模型和数据集组合、每个测试用例和每个扰动目标,我们首先在单帧预测(LP = 1)设置下执行白盒攻击。我们假设攻击者知道了道路上所有物体的历史轨迹。扰动前后的平均预测误差见表3。一般情况下,白盒对抗扰动对所有模型和数据集都是有效的。ADE/FDE平均增加167%/150%。横向/经度偏差达到2.03/3.84米,平均偏差大于车道宽度的一半(1.85米),有62.2%的攻击可能造成现实世界的影响。
自然。在现实世界中,敌对的轨迹自然会以合理的概率发生。对抗轨迹的一个特点是它们经常改变车辆的速度或加速度。然而,一小部分正常轨迹具有相同的模式,与敌方轨迹难以区分。硬约束(§4)也确保了通过驾驶一辆真实的汽车来再现敌对轨迹在物理上是可行的。因此,对抗性攻击可以被视为发现最坏但现实的预测情况的一种方法。
接下来,我们将在§6.2.1、§6.2.2和§6.2.3中分析影响对抗鲁棒性的因素。分析使用Apolloscape数据集上的实验作为支持证据。作为基线,在对Apolloscape的单帧白盒攻击中,ADE/FDE增加了239%/206%,横向/经度偏差平均达到2.49/6.31米(53.6%的偏差大于1.85米)。如果没有指定,预测误差上升/下降的百分比是六个指标的平均值。
7.2.1 不同场景
高加速度场景。在车辆有高加速度的情况下,预测误差通常很高。以度量ADE为例,高加速度(平均加速度> 1m/s2) w/o和w/扰动的预测误差分别比低加速度情况高31%和20%。典型的高加速场景包括在十字路口转弯或在停车线停车(详情见附录)。这三种模型都无法预测驾驶员在这种情况下的行为,因此有极高的预测误差。这些模型需要有关交通规则的特定知识,以使模型在这些困难的情况下具有鲁棒性。
交通密度。为了研究交通密度的因素,我们使用Apolloscape数据集对三个模型重复白盒攻击,但下降50%或100%的目标车辆以外的对象。但白盒攻击下的预测误差与流量密度无关。结果表明,攻击下的最坏情况预测误差主要由目标车辆的轨迹决定,而不是由周围物体决定。
7.2.2 不同的模型
输入表示。独立于轨迹位置(如地图)的特征有助于提高对抗鲁棒性。将trajectory ++ w/ map与w/o map进行比较,原始轨迹和扰动轨迹的ADE分别减少了22%和31%。通过添加地图信息作为输入特征,使扰动特征的权重降低,从而降低了预测结果对扰动的敏感性。
此外,正常轨迹上良好的预测精度并不一定会导致良好的对抗鲁棒性。在没有扰动的情况下,trajectory ++对这三个数据集都具有更好的预测精度,这得益于其全面的输入表示。然而,在对抗扰动的情况下,trajectory ++并不具有最好的精度。在Apolloscape和NGSIM数据集上,FQA对扰动有较好的预测误差。FQA的单LSTM主要基于后两个轨迹位置进行预测,因此对轨迹其他部分的扰动是无效的。虽然trajectory ++集成了丰富的动力学等特性,但该特性在任意轨迹位置都会受到扰动的影响,这是一个较宽的攻面。
7.2.3 不同的攻击方法
白盒对黑盒。我们对这三个模型进行了黑盒攻击,并对Apolloscape数据集进行了攻击结果评估。我们在图3中可视化了六个预测误差指标。一般来说,黑盒攻击和白盒攻击具有非常相似的性能。由于最优扰动的搜索空间处于二维空间(即空间位置),并且受到硬约束(§4)的限制,攻击者可以在不知道模型的情况下有效地求解优化问题。白盒和黑盒对抗轨迹均具有较高的加速度方差,同样误差的情况下,由于梯度制导避免了部分不必要的扰动,白盒攻击的扰动总体较小。
攻击者可以通过调整参数LP对连续的时间帧进行攻击。除了表3中给出的对单帧攻击(LP = 1)的攻击外,我们将LP增加到3秒内的帧数作为多帧攻击。例如,对于采样频率为2hz的Apolloscape数据集,LP = 6意味着3秒内的所有预测都由敌对轨迹控制。我们在图4中展示了三种模型的不同LP对Apolloscape的白盒攻击结果。
由于多帧预测是一个独立的单帧预测序列,在无扰动情况下,单帧预测和多帧预测具有相似的性能。而在对抗性攻击下,平均预测误差随对抗性摄动时间的增加而减小。如果攻击者希望在较长的连续时间内保持攻击效果,则攻击难度增大。这是由于多帧摄动中额外的约束——不同时间帧的对抗历史轨迹依赖于相同的扰动矢量,因此没有单独优化。对于3秒攻击,ADE/FDE增加142%/127%,横向/纵向偏差平均为0.95/1.55米(22%的偏差大于1.85米)。
扰动的边界。使用较小的扰动,攻击仍然有效地造成较高的预测误差。当轨迹位置偏差最大为0.2 m时,ADE/FDE增加86%/80%,横向/经度偏差平均为1.31/1.40 m(27%的偏差大于1.85 m)。
7.2.4 可转移性
由于攻击影响是用量化的预测误差来评估的,而不是用攻击成功的二分判断来评估,所以我们定义了一个百分比分数来衡量可转移性。当我们将源模型优化后的扰动应用于目标模型时,对于每个预测误差度量,我们计算了目标模型的预测误差与源模型的预测误差的比值。最后,我们将6个指标对应的6个比率数字的平均值作为最终分数。
首先,与非攻击情况相比,90.25%的转移对抗轨迹成功增加了预测误差。它表明扰动利用了一般预测模型的常见内部模式。因此,对一个模型优化的扰动也可以对其他模型发动攻击。这意味着扰动带来了常见的模式,导致预测轨迹的偏差。其次,可转移性与目标模型高度相关:将扰动传递到FQA更容易,但传递到trajectory ++更难。我们假设这是因为trajectory ++利用了更多的轨迹特征,因此在较少特征上优化的扰动无法完全重现trajectory ++上的高预测误差。
7.3 缓解对抗的结果
我们使用三种模型和Apolloscape数据集来测试缓解机制。结果如图6所示。我们假设攻击者完全了解缓解方法,并在白盒攻击期间对每个预测使用相同的缓解方法。我们基于卷积的轨迹平滑是可微的,因此计算的梯度可以直接涉及缓解的影响。如果用不可微的平滑方法代替平滑方法,攻击者也可以在充分了解平滑算法的情况下,使用一个可微的函数逼近梯度。
训练期间的缓解:不同模型的数据增强和轨迹平滑效果不同。数据增强在trajectory ++上是有效的(预测误差降低24%),因为该算法在低维数据(即轨迹)上部署了复杂的网络结构。数据增强可以缓解trajectory ++的过拟合问题。轨迹平滑是一种有效的FQA算法。FQA模型预测的轨迹主要依赖于最后一帧的速度方向,曲线轨迹误差较大,存在欠拟合问题。轨迹平滑不能解决模型的问题,只能直接缓解对抗扰动对最后两个观测轨迹位置的影响。如果在训练时间同时应用数据增强和轨迹平滑,攻击下的预测误差平均降低26%,而正常情况下的预测误差平均增加11%。
测试期间缓解:对所有轨迹进行轨迹平滑,攻击下的预测误差降低了13%,而正常情况下的预测误差显著提高了28%。这是因为测试数据的分布被改变为与训练数据集不同。为了解决这个问题,我们需要检测方法(比如之前提到的svm)来区分对抗轨迹和正常轨迹,并只应用平滑到对抗样本的例子。
图7为§5中提到的两个检测器的ROC曲线。首先,我们的基于规则的方法(即加速度方差阈值法)在真阳性率(TPR)和假阳性率(FPR)方面比SVM分类方法有更好的性能。这一结果证实了加速度随时间的变化是对抗性和正常轨迹之间的关键区别。其次,三种模型的对抗轨迹检测精度相近;这证明了我们的检测方法在各种模型中的通用性。最后,采用基于规则的方法,TPR值为88%,FPR值为27%。通过整合检测,测试时间平滑使对抗情况的预测误差降低了12%,而普通情况的预测误差仅提高了6%。
缓解限制。如§6.2所述,一些正常轨迹也有对抗模式,这导致检测的FPR相对较高。训练时间方法在训练数据中引入了噪声,因为它们改变了原始数据集的空间特征。测试时间异常检测存在较高的FPR,因此对一些正常情况进行了不必要的平滑处理。这两种方法都提高了对抗鲁棒性,但代价是在某些正常情况下性能略有下降。对敌对轨迹的全面防御是一项充满希望的未来工作。
7.4 案例研究
在这一节中,我们通过一个案例研究来说明对抗干扰在现实世界中的影响。更多的案例研究在附录中。
图8显示了一个场景,对抗扰动欺骗了假变道,导致自动驾驶汽车硬刹车。在这个场景中,另一辆车(OV)在自动驾驶汽车旁边行驶(为了演示我们省略了其他对象),在这个场景中预测是准确的(横向偏差为0.18米)。扰动后(偏差范围0.5 m, 3秒长度,最大偏差向左),向左的平均偏差显著增加到1.27 m (7×)。更糟糕的是,高误差直接影响AV的决策。在时间帧0-2,预测的OV轨迹与AV未来轨迹相交,看起来像是变道行为。根据AV规划逻辑(如百度Apollo[3]的开源规划代码),AV会试图停在交叉口后产生OV,减速达到12m /s^2,超过AV软件配置的正常行驶的最大减速。这种硬刹车大大增加了追尾事故的风险。采用训练期间减缓方法后,左偏减小到0.91米。虽然预测轨迹与AV未来轨迹相交,但AV只需要减速6 m/s^2。我们成功地再现了对现实世界的AV系统百度Apollo 6.0[3]的攻击。我们在LGSVL模拟器[28]中构建了驾驶场景。详情见附录。
8 可改进点
1.多帧的效果比较差,原因是多帧其实是一串独立的单帧,因为多帧更新的时候用的相同的扰动矢量,所以还不如之前的。可以考虑让这几个帧不独立,然后使用的矢量也不是最初始那个相同的。
2.黑盒攻击采用了粒子群优化算法,可以考虑其它黑盒优化攻击算法。
3.白盒攻击采用了pgd投影梯度下降,可以考虑采用其它白盒优化攻击算法。
4.缓解机制使用的是平滑卷积,可以考虑其它平滑手段。比如不可微的平滑方法。
5.如何有更好的判别正常轨迹和对抗轨迹是一个任务,之前作者使用了基于svm和基于规则的。可以使用以下其它的。
9 代码复现
一直更新,目前就是主功能四个都可运行了。但是没有对最原始的数据进行分割,故没有使用overwrite参数,意思是没从最开始进行训练,而是直接使用的作者给好的数据。
结构如下,其中data下面的三个数据文件是原始的文件,但是没有进行分割,故没办法使用上面的overwrite参数,以后需要再进行从0复现。通过调试大致搞懂了attack的步骤,由于一些基础原理还没懂,所以先去看别的去了。
2024/01/18,暂且更新到这里。
