本文首次对大规模数据集和大型模型进行了对抗样本的可迁移性的研究，同时也是首次研究了设计有目标的对抗样本在其目标标签之间的可转移性。通过新颖的集成方法，本文发现大量有目标的对抗样本可以成功地与其目标标签一起转移，并且这些使用集成方法生成的对抗样本可以成功地攻击黑匣子图像分类系统Clarifai.com。

Nov, 2016

本文系统研究了影响对抗样本传递性的两类因素，包括网络结构、测试精度等模型特定因素和构建对抗样本的损失函数的局部光滑性。基于这些理解，提出了一种简单而有效的策略来增强传递性，称为方差降低攻击，因为它利用方差降低梯度来生成对抗样本，实验结果表明其有效性。

Feb, 2018

利用多样化的输入模式来生成对抗样本，实现更好的对抗样本传递性，评估该方法在不同防御方法下的对抗成功率，并在NIPS 2017对抗比赛中获得了73.0%的平均成功率，从而提高了对抗攻击的基准线。

Mar, 2018

提出一种基于永续度量的方法，通过创造高度扭曲网络特征空间的攻击来达到高度通用的敌对样本，旨在打破相对有限的目前攻击的限制, 并可将其通过多个网络扩展到多个任务。

Nov, 2018

本文提出了一种翻译不变攻击方法，该方法利用一个翻译图像集合上的扰动以生成更易于转移的对抗示例，并表明该方法通常适用于任何梯度攻击方法。作者在ImageNet数据集上广泛实验验证了该方法的有效性，并证明该攻击技术的存在不安全性。

Apr, 2019

介绍了一种名为ILA的攻击方法，它可以利用源模型的中间层信息对现有的对抗样本进行微调，从而提高黑盒攻击的成功率。

Jul, 2019

使用贝叶斯深度学习技术，以神经网络权重的后验分布进行抽样建立一个surrogate，可以进一步提高黑盒攻击的可转移性，本文探究了提高攻击可转移性的训练方法， 将我们方法的表现与几种已有方法进行了比较，能够在ImageNet上获得94%的准确率。

Nov, 2020

本文重新评估了12种常见的对抗样本转移攻击方法，得出结论：对抗转移性经常被高估，在不同的流行模型之间不存在能够传递的单个对抗样本，并提出了一个可靠的基准，包括三个评估协议，以便未来的研究。

Jun, 2023

通过建立新的评估准则，我们在ImageNet上对23种典型攻击与9种代表性防御进行了首次大规模的可传递对抗样本评估，发现既有的评估存在误导性结论和遗漏点，从而阻碍了该领域的实际进展评估。

Oct, 2023

深度神经网络的关键问题之一是对抗性攻击和转移性，考虑到安全性和未来的发展，需要加强对抗性漏洞的防御。

Oct, 2023