该研究提出了新型生成模型，用于制造近似自然图像但又能欺骗先前训练好的模型的略微扰动的对抗性样本。通过在具有挑战性的高分辨率数据集上的实验，它证明了这种扰动具有高弄虚率和较小的扰动规模，并且比当前的迭代方法更快。

Dec, 2017

本文提出了一种基于低频领域的对抗攻击方法，能够有效地减少模型查询次数，即使模型和防御策略未知，也能规避图像转换的防御策略，并展示了使用该技术欺骗 Google Cloud Vision 平台模型查询次数极低的成果。

Sep, 2018

本文提供了一种新的算法，用于逼近离散傅里叶变换的近似稀疏信号，该信号被最坏情况下的$L_0$噪声污染，即信号的一定数量的坐标被任意破坏。我们的技术推广到了各种线性变换，如离散余弦变换、正弦变换、Hadamard变换及其高维模拟。我们利用该算法成功防御了图像分类领域中著名的$L_0$对抗者，对MNIST、Fashion-MNIST数据集上的基于Jacobian的显著性地图攻击(JSMA)、Carlini Wagner(CW)$L_0$攻击以及在ImageNet数据集上的对抗性补丁的实验结果进行了讨论。

Dec, 2018

我们提出了一种方法，生成了对人类眼睛不可见的物理对抗样本。我们使用改变照射目标物体的光的方式，而不是通过贴纸或彩色物体来生成对抗样本，我们探究了如何使用红外光或者LED对图像实现攻击目标，实验中所得到的结果表明该方法具有较高的准确度。

Nov, 2020

使用meta adversarial training (MAT) 针对基于图像的反攻击 (adversarial attacks) 进行训练，该模型能够显著提高模型对于通用补丁 (universal patch) 的鲁棒性，并且在图像分类和交通信号灯检测方面具有广泛的应用。

Jan, 2021

利用傅里叶分析的方法，我们从任务特定和联合分析的角度，揭示频率分布和高频内容对深度学习模型的鲁棒性和发现模型广泛化有深层次的影响。我们还提出了两种新的万能扰动：同时达到攻击和隐藏的“通用秘密对抗扰动”（USAP）和对人眼不可见的“高通万能扰动”（HP-UAP）

Feb, 2021

本文提出一种称为meta adversarial perturbation（MAP）的新方法，可以通过一步梯度上升更新对自然图像进行模型不可知的攻击，并且实验结果表明各种先进深度神经网络都容易受到这种攻击。

Nov, 2021

本研究介绍了一种名为 Adversarial Zoom Lens（AdvZL）的新型物理对抗攻击技术，使用变焦镜头对物理世界中的图像进行缩放，从而欺骗深度神经网络，同时不会改变目标对象的特征。通过数字环境和物理环境的实验证明了该方法的有效性，并提出了对抗训练的防御建议。还探讨了该方法对未来自动驾驶的威胁可能性以及类似所提出攻击的变种威胁思路。

Jun, 2022

使用EvilEye攻击的动态物理对抗样本生成方法在各种环境光照条件下更加稳健，并能绕过最新的物理对抗检测框架，为攻击者提供了适应多种物体的对抗样本的动态能力。最后，我们探讨了对抗EvilEye攻击的缓解策略。

Jul, 2023

本研究提出了一种新颖的通用干扰方法，用于生成3D物体识别中的强健的多视角对抗样本。与仅限于单个视角的传统攻击不同，我们的方法在多个2D图像上操作，为增强模型的可扩展性和鲁棒性提供实用且可扩展的解决方案。这种通用方法将2D干扰和类似3D攻击能力之间的差距缩小，适用于实际应用。

Apr, 2024