提出基于概率输出的 HopSkipJump 攻击，并在各种噪声模型下进行测试，证明现有随机化防御措施对决策攻击几乎没有额外的鲁棒性提供。

Jun, 2021

本文提出一种用于攻击离散和非连续的机器学习模型的新方法，将难标记黑盒攻击转化为实值优化问题，并且在 MNIST，CIFAR 和 ImageNet 数据集上展示出比现有方法更优异的表现。

Jul, 2018

该文章针对深度神经网络在模型攻击方面的问题，提出了一种新的攻击方法 DeltaBound attack，该方法在 L2 范数的约束下对模型进行攻击并取得了与其他攻击方法相当甚至更好的效果。

Oct, 2022

本研究介绍了基于模型决策的 Boundary Attack，它比传统基于梯度或得分的攻击更加适用于实际的黑盒模型应用，同时它不需要替代模型，比起传输攻击需要更少的知识，更容易应用，提高了机器学习模型的鲁棒性，同时也引发了有关部署机器学习系统安全性的新问题。

Dec, 2017

本文采用直接估计方向导数的符号而非估计梯度本身的方法，提出了一种新的查询高效的 Hard-Label 黑盒攻击方法，该方法通常比目前最先进的方法少需要 5 倍至 10 倍的查询，并通常收敛于带有更小扰动的对抗性示例，针对有限访问的机器学习系统进行对抗鲁棒性评估的实际问题进行了研究。

Sep, 2019

提出了一种使用贝叶斯优化来进行黑盒攻击的方法，通过在结构性低维子空间中搜索对抗样本来避免 BO 在高维度下的性能问题，实验结果显示该方法相较现有黑盒攻击算法需要更少的查询次数，并且攻击成功率提高了 2 到 10 倍。

Jul, 2020

提出了一种新的针对硬标签的黑盒攻击的优化方法，利用经预训练的替代模型指导优化过程，实验证明该方法在不同目标模型架构下显著提高了攻击的查询效率，攻击成功率较基准测试提高了约 5 倍，特别是在 100 和 250 个查询预算下。

Mar, 2024

本文提出了一种新的多目标适应性标签仅会员推断攻击方法，使用多目标 HopSkipJump 算法，将所有目标类别的决策边界距离遍历，在早期攻击迭代中，随后的攻击迭代继续使用最短的决策边界距离，而不是使用单一的边界距离，来区分训练集内的成员样本和训练集外的非成员样本。实验结果表明，相对于当前的标签仅会员推断攻击，在 CIFAR10 和 CIFAR100 数据集上，我们的多任务 HopSkipJump 算法在几乎所有样本中都成功地实现了最优决策边界，并且我们的多类适应性 MIA 在真阳性率低时达到了极佳的性能。

Jun, 2023

我们提出了 AttackBench 作为第一个用于评估对抗样本优化的攻击的公平比较框架，通过分类梯度攻击、定义优化度量标准和限制查询次数等方式评估攻击的效果和效率，并通过对超过 100 种攻击实现在 CIFAR-10 和 ImageNet 模型上的 800 多种不同配置的实证分析，发现只有很少的攻击能够超越所有其他竞争方法，同时揭示了阻碍许多攻击找到更好解决方案或运行的几个实现问题，我们将 AttackBench 作为一个公开可用的基准，并致力于不断更新以包含和评估新的梯度攻击方法。

Apr, 2024

本文提出了一种离散替代方法来解决黑匣子攻击的问题，该方法可以在不需要估计导数的情况下有效地攻击神经网络，降低了之前所提出方法所需的查询次数。

May, 2019