对物理深度学习算法模型的物理攻击，提出了 Disappearance Attack 和 Creation Attack 进行检测，结果表明存在风险，攻击模型具有可迁移性

Jul, 2018

本文研究通过不同攻击方法，包括黑盒攻击，来制造可以用于在不同环境中欺骗系统的扰动，并展示可靠的物理对抗攻击可以使用不同的方法进行执行，同时也可以降低扰动的可察觉程度。该发现强调了即使在黑盒情况下，需要通过可行的方法保护 DNN 的需求，同时也为使用对抗攻击增强原始训练数据的方法提供了基础。

Feb, 2023

对于深度神经网络 (DNNs) 的安全性问题，本文重点关注于物理对抗攻击，总结了 150 篇现有的物理对抗攻击的论文，详细分析了物理对抗攻击的特征、媒介、方法及其效果，并探讨了当前的挑战和未来方向。

Sep, 2022

通过对物理对抗性攻击进行全面的特征分析，探讨制造和重抽样作为物理对抗性示例的主要来源，以及针对物理对抗性攻击的防御策略，并识别目前面临的挑战和未来研究机会。

Nov, 2023

研究表明，即使没有内部知识，对深度卷积神经网络进行黑盒攻击并制造对抗性样本是可行的，这暴露了深度神经网络的弱点，为设计安全的网络提供了检验。

Dec, 2016

该研究提出了一种新的对抗样本攻击方法，考虑到人类感知系统并最大化制作的对抗样本的噪声容忍度，实验结果证明了该技术的有效性。

Jan, 2018

本篇研究论文主要探讨了如何有效防御基于图像分类的深度神经网络攻击。通过研究两种最常见的防御方法，我们发现这些方法对于三种最高危物理攻击的防御效果较差。因此我们提出了一种新的抽象对抗模型，矩形遮挡攻击，并且开发了两种计算结果的对抗样本的方法。最后，我们通过新的模型进行对抗训练，证明了这一方法是一种高效的通用防御策略。

Sep, 2019

通过 PhysGAN 产生物理世界中鲁棒性的对抗性样本，有效欺骗自动驾驶系统并在数字仿真和现实世界中进行评估，比其他基线方法表现更好，为攻击常规自动驾驶场景生成逼真和具有物理世界鲁棒性的对抗性样本的首个技术。

Jul, 2019

本文研究了利用自然现象 —— 影子生成干扰以实现自然和偷偷摸摸的物理世界对抗攻击的新型光学对抗样本，并在模拟和真实环境下进行了广泛评估，结果表明此攻击的成功率达到了 98.23% 和 90.47%，而且可以在真实场景下连续欺骗移动摄像机 95% 以上的时间。

Mar, 2022

本文通过实验表明，目前物理对抗样本的构造不能影响到从不同距离和角度的拍摄图像，因为对抗扰动的特性对观察图像的尺度非常敏感，因此自动车只会从小范围内的距离错判停止标志。此外，研究还提出了：是否可以构造对许多或大多数观看条件都具有对抗性的例子，若能，则该构造应该对深度网络的模式内部表示提供非常重要的见解。

Jul, 2017