本文提出了一种新的方法，利用自然进化策略在黑盒攻击下生成可靠的对抗样本，并通过新的算法在部分信息下进行有针对性的攻击，无需使用梯度，可以使用少量的请求操作，成功地对商业部署的机器学习系统进行了第一次有针对性的攻击。

Dec, 2017

本文旨在评估最先进的人脸识别模型在基于决策的黑盒攻击环境下的鲁棒性能，并提出一种新的进化攻击算法以减少搜索空间维度，实验结果表明该方法能够在较少的查询次数内诱导输入的最小扰动，并成功地用于攻击一个真实的人脸识别系统。

Apr, 2019

本文探究了 DNN 的黑盒攻击方案，使用现有的白盒攻击方法产生的采样样本进行训练替代模型，并提出主动学习策略和多样性准则以优化其表现，实验证明该方法可以将查询数量减少超过 90% 并保持黑盒攻击成功率。

Sep, 2018

本文提出了一种名为 “无需输入” 的攻击方法，用于深度神经网络的对抗攻击，该方法不需要进行大量的查询，可以通过任意图像添加可以感知的扰动来生成对抗性图像。该方法通过灰度图像的初始化和局部扰动与平铺技术来显着降低了查询复杂度，并成功击败了 Clarifai 食品检测 API 和百度动物识别 API。

Sep, 2018

本文提出了 DeepFool 算法，通过欺骗深度神经网络来计算对其进行扰动的鲁棒性，从而比现有方法更好地计算对抗扰动和提高分类器的鲁棒性。

Nov, 2015

通过提出 “Targeted DeepFool” 算法，该研究通过在深度神经网络上训练特定的攻击样本来应对对抗攻击，以提高图像质量的完整性和准确性。

Oct, 2023

利用决策导向攻击和频率线索，我们提出了一种新的人脸伪造攻击方法，具有高查询效率和保证图像质量，在 FaceForensics++、CelebDF 和工业 API 上实现了攻击性能的最新突破，同时揭示了人脸伪造检测器的安全问题。

Oct, 2023

研究表明，即使没有内部知识，对深度卷积神经网络进行黑盒攻击并制造对抗性样本是可行的，这暴露了深度神经网络的弱点，为设计安全的网络提供了检验。

Dec, 2016

本文通过定义三种现实世界分类系统的威胁模型（查询限制，部分信息和仅标签），并开发了新的攻击方法，成功的攻击了一个 ImageNet 分类器，并成功的突破了 Google Cloud Vision API 的限制来进行有针对性的黑盒攻击。

Apr, 2018

本文通过使用 GAN 生成无约束对抗样本并在潜空间中成功操纵潜向量以欺骗分类模型，提出了一个新的方法：Latent-HSJA，该方法在黑盒设置中只能访问分类模型的前 k 项决策，是对少量查询的分类模型强度评估的有效方法。

Aug, 2022