ShapeShifter是一种攻击方法，可以通过在真实世界中添加对图像进行物理扰动同时满足多个途径来测试机器学习模型，期望通过在不同的变形中增加鲁棒性来模拟许多场景。

Apr, 2018

本文提出了DPatch，一种黑盒子对现代计算机视觉系统（如Faster R-CNN和YOLO）的基于敌对的黑盒贴片攻击。与原始的敌对贴片只操纵图像级分类器不同，DPatch同时攻击边界框回归和对象分类以禁用它们的预测，具有非常高的转移性且实践性强。

Jun, 2018

对物理深度学习算法模型的物理攻击，提出了Disappearance Attack和Creation Attack进行检测，结果表明存在风险，攻击模型具有可迁移性

Jul, 2018

本文提出了一种有效的Robust Adversarial Perturbation（R-AP）方法，通过攻击Region Proposal Network（RPN）的普遍组件，来通用地降低深度自学习物体检测器和实例分割算法的性能，并在MS COCO 2014数据集上进行实验，结果表明该方法具有很高的有效性。

Sep, 2018

本文提出了一种物理性的对抗攻击方法，能够通过拼贴一个合理设计的补丁扰乱YOLOv3检测器的识别结果，避免误判或漏检目标，从而在不需要修改场景中的物体的情况下，对目标检测系统进行攻击。

Jun, 2019

本文主要研究利用空间上下文的快速目标检测算法，存在针对其进行针对性攻击的问题，并提出了限制空间上下文训练的解决方案。

Sep, 2019

该研究关注深度神经网络的安全性问题，着重研究针对目标检测算法的对抗攻击方法，通过生成特定的对抗补丁实现攻击，提出的两种算法均可有效地、通用地攻击最新的目标检测模型。此外，参加了阿里巴巴的天池对抗挑战，并在1701对抗团队中获得了前七名。

Oct, 2020

提出一种新的补丁攻击方法RPAttack，它可以成功攻击YOLO和Faster R-CNN等常规物体检测器，而仅修改0.32％的像素，并实现100％的错过检测率。

Mar, 2021

该研究提出一种基于生成对抗网络（GAN）图像流形和物理世界的无梯度攻击方法，用于生成自然物理的对抗贴片以欺骗对目标物体检测器的分类。结果表明，该方法在数字和物理场景下均有效。

Mar, 2023

本研究旨在解决对抗性补丁在不同深度神经网络和数据集间的可转移性问题。通过对不同物体检测架构的评估，论文发现，使用更大模型优化的补丁具有比小模型优化补丁更好的网络可转移性，这一发现为对抗性攻击的防御策略提供了新的视角和思路。

Aug, 2024