本文系统研究了影响对抗样本传递性的两类因素，包括网络结构、测试精度等模型特定因素和构建对抗样本的损失函数的局部光滑性。基于这些理解，提出了一种简单而有效的策略来增强传递性，称为方差降低攻击，因为它利用方差降低梯度来生成对抗样本，实验结果表明其有效性。

Feb, 2018

深度神经网络的关键问题之一是对抗性攻击和转移性，考虑到安全性和未来的发展，需要加强对抗性漏洞的防御。

Oct, 2023

本文首次对大规模数据集和大型模型进行了对抗样本的可迁移性的研究，同时也是首次研究了设计有目标的对抗样本在其目标标签之间的可转移性。通过新颖的集成方法，本文发现大量有目标的对抗样本可以成功地与其目标标签一起转移，并且这些使用集成方法生成的对抗样本可以成功地攻击黑匣子图像分类系统 Clarifai.com。

Nov, 2016

对机器学习模型的黑盒攻击是可能的，即使它们的结构不同。通过生成对抗性样本，并利用受害者模型标记合成训练集，攻击者可以训练出自己的替代模型，并将对抗性样本转移到受害者模型中实施攻击，该方法可以使用新的技术使攻击过程更加有效率，在 Amazon 和 Google 等公司的商业机器学习分类系统中展示了攻击的有效性。

May, 2016

通过建立新的评估准则，我们在 ImageNet 上对 23 种典型攻击与 9 种代表性防御进行了首次大规模的可传递对抗样本评估，发现既有的评估存在误导性结论和遗漏点，从而阻碍了该领域的实际进展评估。

Oct, 2023

该研究提出了一种基于几何框架和流形重建方法的方法，以分析对抗样本的高维几何形状，并证明了不同规范的鲁棒性、球形对抗性训练的样本编号和最近邻分类器与基于球面的对抗训练的充分采样条件。

Nov, 2018

通过对现有对抗性攻击的仔细研究，我们提出了一系列技巧来增强对抗性传递性，包括动量初始化、计划的步长、双重示例、基于频谱的输入变换和几种集成策略。在 ImageNet 数据集上的大量实验验证了我们提出的技巧的高效性，并表明结合它们可以进一步增强对抗性传递性。我们的工作提供了实用的见解和技术，以增强对抗性传递性，并通过简单的调整指导提高对现实世界应用的攻击性能。

Jan, 2024

本研究首次证明存在领域不变的对抗性攻击，提出了一个用于在不同领域中高度转移的攻击框架，核心是一个可生成网络，具有相对论监督信号，能够实现领域不变的扰动。该方法在白盒和黑盒情况下均创新了欺骗率的最佳性能，并且尽管它是一个无实例特定扰动的函数，但优于传统上更强的实例特定攻击方法。

May, 2019

本文对机器学习模型在视觉领域中面临的对抗性攻击和防御方法进行了广泛探讨，并讨论了不同攻击和防御方法的优点和缺点。旨在提供广泛的领域覆盖和机械进攻和防御机制的直观理解。

Nov, 2019

本文提出了一种训练方法来防止黑盒学习系统受到对抗性示例的攻击，该方法通过在输出类集中增加一个 NULL 标签并训练分类器将对抗性示例分类为 NULL 来阻止其可转让性。实验表明该方法能够有效抵御对抗性示例的攻击，同时在干净数据上保持准确度。

Mar, 2017