本文研究了在语义分割和物体检测领域中存在的对抗样本，并通过一种名为 DAG（Dense Adversary Generation）的算法来产生大量对抗样本，可以应用于各种先进的深度网络架构，除此之外还发现了对抗扰动可以在不同的训练数据、不同的架构以及不同的任务之间进行传递，尤其是在具有相同架构的网络之间的可传递性更加显著；此外，对多个异构扰动进行求和通常会导致更好的传递性能，这提供了一种有效的黑盒对抗攻击方法。

Mar, 2017

本文研究了对神经网络的对抗样本跨任务迁移性的攻击，超越了现有攻击的限制，并针对计算机视觉中的多种任务提出了一种新的攻击方法。

Nov, 2019

本文提出了一种翻译不变攻击方法，该方法利用一个翻译图像集合上的扰动以生成更易于转移的对抗示例，并表明该方法通常适用于任何梯度攻击方法。作者在 ImageNet 数据集上广泛实验验证了该方法的有效性，并证明该攻击技术的存在不安全性。

Apr, 2019

本文探索了在图像取证应用程序中，攻击是否具有传递性，并证明在大多数情况下攻击是不可传递的，至少当攻击者不完全了解目标检测器时，可以简化适当的对策设计。

Nov, 2018

通过建立新的评估准则，我们在 ImageNet 上对 23 种典型攻击与 9 种代表性防御进行了首次大规模的可传递对抗样本评估，发现既有的评估存在误导性结论和遗漏点，从而阻碍了该领域的实际进展评估。

Oct, 2023

提出一种基于永续度量的方法，通过创造高度扭曲网络特征空间的攻击来达到高度通用的敌对样本，旨在打破相对有限的目前攻击的限制，并可将其通过多个网络扩展到多个任务。

Nov, 2018

本文提出了一种基于多尺度注意力图的逐渐合成平均图的方法，通过压制目标物体的前景注意力和增强背景的注意力，生成可实现物理伪装的转移攻击，取得了优于现有技术的结果。

May, 2022

利用多样化的输入模式来生成对抗样本，实现更好的对抗样本传递性，评估该方法在不同防御方法下的对抗成功率，并在 NIPS 2017 对抗比赛中获得了 73.0% 的平均成功率，从而提高了对抗攻击的基准线。

Mar, 2018

本文通过在低维数据流形上规范对抗性贴片生成，从而提高了面部识别系统的鲁棒性，并在数字世界和物理世界上进行了广泛的实验验证。

Jun, 2021

本文提出了一种有效的两阶段对抗攻击策略，命名为 TranSegPGD，旨在改善语义分割中对抗性示例的可传递性。通过将输入图像的每个像素分为不同的分支，根据其对抗属性和可传递属性来分配不同的权重进行优化，以提高对抗性示例的传递能力和性能。实验证明，该方法可以达到最先进的性能。

Dec, 2023