本文采用直接估计方向导数的符号而非估计梯度本身的方法，提出了一种新的查询高效的 Hard-Label 黑盒攻击方法，该方法通常比目前最先进的方法少需要 5 倍至 10 倍的查询，并通常收敛于带有更小扰动的对抗性示例，针对有限访问的机器学习系统进行对抗鲁棒性评估的实际问题进行了研究。

Sep, 2019

本文提出了一种离散替代方法来解决黑匣子攻击的问题，该方法可以在不需要估计导数的情况下有效地攻击神经网络，降低了之前所提出方法所需的查询次数。

May, 2019

提出了一种使用贝叶斯优化来进行黑盒攻击的方法，通过在结构性低维子空间中搜索对抗样本来避免 BO 在高维度下的性能问题，实验结果显示该方法相较现有黑盒攻击算法需要更少的查询次数，并且攻击成功率提高了 2 到 10 倍。

Jul, 2020

介绍一种新的黑盒攻击方法，它使用一种新的目标函数并扩展了以前的黑盒对抗攻击方法，证明深度神经网络不具有单次平铺攻击的鲁棒性，并在预算限制下（对抗攻击成功率能达到 99.2%），在有限的预算下（对抗攻击成功率能达到 100%），比当前最先进的方法分别使用了 90 个查询和 800 个查询少。

Oct, 2019

本文介绍了一个基于连续数值置信度分数的、高效构建黑盒中敌对图像的简单迭代算法，并且该算法同样适用于有目标和无目标攻击。作者使用少于 20 行的 PyTorch 代码在 Google Cloud Vision API 中展示了该算法的高效和有效性。

May, 2019

本文提出了一种新的方法，利用自然进化策略在黑盒攻击下生成可靠的对抗样本，并通过新的算法在部分信息下进行有针对性的攻击，无需使用梯度，可以使用少量的请求操作，成功地对商业部署的机器学习系统进行了第一次有针对性的攻击。

Dec, 2017

本文提出一种用于攻击离散和非连续的机器学习模型的新方法，将难标记黑盒攻击转化为实值优化问题，并且在 MNIST，CIFAR 和 ImageNet 数据集上展示出比现有方法更优异的表现。

Jul, 2018

提出了一种新的针对硬标签的黑盒攻击的优化方法，利用经预训练的替代模型指导优化过程，实验证明该方法在不同目标模型架构下显著提高了攻击的查询效率，攻击成功率较基准测试提高了约 5 倍，特别是在 100 和 250 个查询预算下。

Mar, 2024

这篇论文提出了 GenAttack—— 一种基于遗传算法的无梯度黑盒对抗攻击优化技术，在 MNIST、CIFAR-10 和 ImageNet 数据集上成功地生成了对抗性样本，攻击了最新的图像识别模型，且所需的查询量比之前的攻击方法少了几个数量级，且还能攻击一些针对对抗性训练的防御措施，通过实验证明了遗传算法在黑盒攻击研究中的可行性和前景。

May, 2018

本文提出了一种新的黑盒对抗攻击方法，通过使用预训练模型学习低维嵌入，然后在此嵌入空间内进行高效搜索，从而攻击未知目标网络。该方法能够生成具有高级语义模式的对抗性扰动，易于迁移，可大大提高黑盒对抗攻击的查询效率。作者在 MNIST、ImageNet 和 Google Cloud Vision API 上进行评估，并在 CIFAR10 和 ImageNet 上攻击对抗性防御网络，取得了良好的攻击效果。

Nov, 2019