本文提出了一种新的对抗攻击方法，通过扰动表示样式的抽象特征，包括可解释和不可解释的风格，诸如鲜艳色彩和锐利轮廓等，通过优化程序注入难以察觉的风格变化，实现深度神经网络模型误分类，我们展示了该方法产生的对抗样本比现有的非受限制攻击更加自然，并支持现有的像素空间的对抗攻击检测和防御技术难以在风格相关特征空间中保证模型的鲁棒性。

Apr, 2020

本文通过对参数条件生成模型的范围空间进行对抗性损失的优化，提出了一种新颖的方法来生成 “语义” 对抗性示例，并在面部图像上展示了其攻击的效果。

Apr, 2019

基于感知色彩空间和空间变换的对抗例子生成方法具有高置信度和有利的近似感知距离结果。

Oct, 2023

本文提出了一种新类的对抗样本 ——“语义对抗样本”，即通过对图像进行任意扰动来欺骗模型，但修改后的图像在语义上代表的仍是原始图像，通过构建约束优化问题和基于人类认知系统的形状偏置特性的对抗变换，生成对抗图像的颜色转移极大影响了 Deep neural networks 模型精度。

Mar, 2018

研究发现标准的神经网络产生对抗样本的方法在面临视角改变、噪声和其他自然变换的情况下无法在物理世界中持续地欺骗神经网络分类器，但此研究成功演示了存在强韧性的三维对抗性目标，提出了第一个能在所选择的转换分布中产生对抗性示例的算法，制造了首批物理对抗物体。

Jul, 2017

该研究介绍了一种通用的攻击算法，RP2，用于在不同的物理条件下产生强大的视觉对抗扰动，以及一种用于评估物理对抗性的两阶段评估方法，通过黑白贴纸形式的扰动对真实的红绿灯进行攻击，在实验室测试和场地测试结果分别达到 100% 和 84.8% 的目标分类器的误分率。

Jul, 2017

本文探讨了机器学习和深度神经网络在语义分割任务上遭受对抗性干扰的问题，证实了对抗性攻击对该任务也具有显著影响，可以通过不可察觉的对抗性扰动诱导深度神经网络对某一类别像素的错误分类而几乎不影响该类别以外像素的分类。

Mar, 2017

本文研究深度神经网络中的对抗样本问题，提出了一种新的扰动方法：利用空间变换生成对抗性样本以增强样本的感知逼真度，证明这种方法在现有防御系统方面更加具有挑战性，并通过可视化技术研究神经网络对不同类型对抗样本的感知。

Jan, 2018

通过引入语义感知扰动来生成有效和逼真的对抗性样本，该方法在复杂数据集（如 ImageNet 和 MSCOCO）上针对图像分类和图像字幕任务进行了有效应用，且经综合用户研究证明其较其他攻击更为逼真。

Apr, 2019

对于深度神经网络 (DNNs) 的安全性问题，本文重点关注于物理对抗攻击，总结了 150 篇现有的物理对抗攻击的论文，详细分析了物理对抗攻击的特征、媒介、方法及其效果，并探讨了当前的挑战和未来方向。

Sep, 2022