본 논문은 이미지 도메인에서 사후 설명 가능한 인공지능(XAI)에 대한 새로운 블랙박스 모델 무관 공격을 제시합니다. 이 공격은 모델의 예측 및 설명에만 접근하여, 예측 클래스를 유지하면서 인간의 눈으로 감지할 수 없도록 설명을 수정하는 것을 목표로 합니다. 기존 방법과 달리 모델 또는 가중치에 접근할 필요가 없으며, 단일 단계로 설명을 크게 변경합니다. 이 공격은 현재 설명 방법의 취약점을 노출하며 안전이 중요한 응용 프로그램에서의 신뢰성에 대한 우려를 제기합니다. 사전 훈련된 ResNet-18 및 ViT-B16에 대한 saliency maps, integrated gradients, DeepLIFT SHAP과 같은 XAI 방법으로 생성된 설명을 기반으로 공격을 생성하고, 예측 확률을 변경하지 않으면서 설명을 크게 변경할 수 있음을 입증합니다.
