적대적 PAC 학습의 하한 차원 폭발과 하이브리드 공격

본 논문은 적대적 예제에 대한 두 가지 위험 정의—오염 입력 위험과 오류 영역 위험—를 명확히 구분하고, 특히 후자를 기반으로 PAC 학습의 근본적인 한계를 탐구한다. 서론에서는 딥러닝 모델이 작은 교란에 취약하다는 실증적 사실을 언급하며, 기존 연구들이 대부분 오염 입력 모델을 사용해 “강건 학습”의 샘플 복잡도 증가가 다항식 수준에 불과하다고 주장해 왔음을 지적한다. 그러나 라벨이 교란에 따라 변할 수 있는 경우, 두 위험 정의는 서로 비교 불가능하며, 오류 영역 위험이 보다 일반적인 상황을 포괄한다는 점을 강조한다. 2장에서는 적대적 강건 PAC 학습의 형식적 정의를 제시한다. 입력 공간 \((X,D,d)\)와 개념 클래스 \(C\), 가설 클래스 \(H\)를 정의하고, 회피 공격 \(A\)가 테스트 샘플 \(x\)를 \(\tilde{x}=A(x)\) 로 변형시키는 과정을 기술한다. 오류 영역 위험은 \(\Pr_{x\sim D}