提出了一种新的针对硬标签的黑盒攻击的优化方法，利用经预训练的替代模型指导优化过程，实验证明该方法在不同目标模型架构下显著提高了攻击的查询效率，攻击成功率较基准测试提高了约 5 倍，特别是在 100 和 250 个查询预算下。

Mar, 2024

本文采用直接估计方向导数的符号而非估计梯度本身的方法，提出了一种新的查询高效的 Hard-Label 黑盒攻击方法，该方法通常比目前最先进的方法少需要 5 倍至 10 倍的查询，并通常收敛于带有更小扰动的对抗性示例，针对有限访问的机器学习系统进行对抗鲁棒性评估的实际问题进行了研究。

Sep, 2019

提出了一种使用贝叶斯优化来进行黑盒攻击的方法，通过在结构性低维子空间中搜索对抗样本来避免 BO 在高维度下的性能问题，实验结果显示该方法相较现有黑盒攻击算法需要更少的查询次数，并且攻击成功率提高了 2 到 10 倍。

Jul, 2020

本文提出了一种离散替代方法来解决黑匣子攻击的问题，该方法可以在不需要估计导数的情况下有效地攻击神经网络，降低了之前所提出方法所需的查询次数。

May, 2019

本文探究了 DNN 的黑盒攻击方案，使用现有的白盒攻击方法产生的采样样本进行训练替代模型，并提出主动学习策略和多样性准则以优化其表现，实验证明该方法可以将查询数量减少超过 90% 并保持黑盒攻击成功率。

Sep, 2018

提出了一种新的基于梯度估计的黑盒攻击方法，攻击者可以查询目标模型的类概率，无需使用可转移性。该攻击在 MNIST 和 CIFAR-10 数据集上的攻击成功率均超过 100％，同时成功攻击了 Clarifai 的实时图像分类器和最新防御方法。

Dec, 2017

这篇论文提出了 GenAttack—— 一种基于遗传算法的无梯度黑盒对抗攻击优化技术，在 MNIST、CIFAR-10 和 ImageNet 数据集上成功地生成了对抗性样本，攻击了最新的图像识别模型，且所需的查询量比之前的攻击方法少了几个数量级，且还能攻击一些针对对抗性训练的防御措施，通过实验证明了遗传算法在黑盒攻击研究中的可行性和前景。

May, 2018

该研究提出了一种决策式的攻击策略，利用基于人口统计的优化算法，通过仅观察目标模型预测的前一标签，制作出可信且语义相似的对抗性例子。与先前文献中提出的攻击相比，在高度限制的情况下，成功率更高，被替换单词比例更低。

Dec, 2020

本文研究了针对机器学习分类器的黑盒攻击，其中每个向模型的查询都会给对手带来一些代价或检测风险。我们的重点是将查询次数最小化作为主要目标。具体而言，我们考虑了在最小化查询次数的同时遵守特征修改成本预算的机器学习分类器攻击问题。我们描述了一种利用贝叶斯优化来最小化查询次数的方法，并发现，在特征修改成本预算较低的情况下，与随机策略相比，查询次数可以减少到大约原来的十分之一。

Dec, 2017

本文提出一种基于 Frank-Wolfe 算法的新型优化算法框架，可同时用于白盒和黑盒情况下的对抗攻击，并表示该算法具有高效性、有效性和优越的性能。

Nov, 2018