本文提出了一种新的方法，利用自然进化策略在黑盒攻击下生成可靠的对抗样本，并通过新的算法在部分信息下进行有针对性的攻击，无需使用梯度，可以使用少量的请求操作，成功地对商业部署的机器学习系统进行了第一次有针对性的攻击。

Dec, 2017

本文讨论了黑盒子设置下图像分类的对抗性样本问题，并针对 Boundary Attacks 提出了一种基于偏差抽样的新方法，该方法通过图像频率、区域掩码和代理梯度三种偏差来提高攻击效率，并在 ImageNet 数据集上进行了深入评估。最终表明，这些偏差的结合能够显著提高黑盒攻击的效率，并在对 Google Cloud Vision API、以及强防御模型的攻击中都表现出色。

Dec, 2018

本文介绍了一个基于连续数值置信度分数的、高效构建黑盒中敌对图像的简单迭代算法，并且该算法同样适用于有目标和无目标攻击。作者使用少于 20 行的 PyTorch 代码在 Google Cloud Vision API 中展示了该算法的高效和有效性。

May, 2019

本文提出了一种名为 “无需输入” 的攻击方法，用于深度神经网络的对抗攻击，该方法不需要进行大量的查询，可以通过任意图像添加可以感知的扰动来生成对抗性图像。该方法通过灰度图像的初始化和局部扰动与平铺技术来显着降低了查询复杂度，并成功击败了 Clarifai 食品检测 API 和百度动物识别 API。

Sep, 2018

通过使用本地模型的候选对抗性示例作为优化攻击的起点，并使用优化攻击中学习的标签来调整本地模型以查找转移候选项，我们提出了一种混合攻击策略，并引入了一种种子优先策略，从而使攻击者能够专注于最有前途的种子。结合我们的种子优先策略，混合攻击可以可靠地找到具有仅有少量查询的对抗性示例。

Aug, 2019

通过黑盒对抗攻击策略产生的对抗性补丁可以在输入图像的任意位置进行对抗攻击。

May, 2024

本文提出了一种离散替代方法来解决黑匣子攻击的问题，该方法可以在不需要估计导数的情况下有效地攻击神经网络，降低了之前所提出方法所需的查询次数。

May, 2019

PatchAttack 是一种基于纹理字典和增强学习的有效的图像对抗攻击方法，可以在图像中超级位置化小型纹理贴片从而成功诱导图像分类错误，即使在针对性攻击的情况下仅更改 3％至 10％的图像。

Apr, 2020

通过像素级别的操作产生黑盒攻击算法，并通过放大因子和项目核来处理像素的梯度溢出，将该方法用于梯度攻击算法的所有类别中，显著提高了对防御模型和一般模型的攻击成功率。

Jul, 2020

这篇论文提出了 GenAttack—— 一种基于遗传算法的无梯度黑盒对抗攻击优化技术，在 MNIST、CIFAR-10 和 ImageNet 数据集上成功地生成了对抗性样本，攻击了最新的图像识别模型，且所需的查询量比之前的攻击方法少了几个数量级，且还能攻击一些针对对抗性训练的防御措施，通过实验证明了遗传算法在黑盒攻击研究中的可行性和前景。

May, 2018