従来の敵対的に攻撃は、いかに分類器を騙すかに焦点をおいており、ISPなどの前工程は考慮に入れていなかった。この研究ではこの前工程に初めて焦点を当てた敵対的攻撃手法を提案している。通常、組み込みハードウェアのISPは、ブラックボックス・アルゴリズムとしてしか利用できない。そのため、我々の攻撃のためのグラディエント・オラクルとして機能する、ISPの微分可能な近似値を学習させる。

最近の車載カメラのISPと光学系で実験的に検証し、ISPと光学系の両方の攻撃で90%以上の目標成功率を達成した。また、特定のISPなどのみで動作させることができた。

ISPなど微分不可能な処理を代理モデルとして微分可能なモデルで置き換える方法は、個人的には非常に有望だと感じる。物理シミュレーションとかを微分可能な代理モデルで近似できれば、構造の最適化などにも使えるかもしれない