本文提出了零阶自然梯度下降（ZO-NGD）方法，以设计对抗性攻击，通过采用零阶梯度估计技术和二阶自然梯度下降方法，在黑盒攻击场景中提高查询效率，并在图像分类数据集上进行实证评估，证明 ZO-NGD 相对于现有攻击方法可以获得显著的模型查询复杂度降低。

Feb, 2020

文章研究黑盒对抗攻击问题，提出了一种基于贝叶斯优化的高效查询算法，使用维度上采样技术优化了对深度学习模型的优化，并取得了比其他算法更优的效果。

Sep, 2019

本文提出了一种针对黑盒模型的防御式操作，通过基于降噪平滑和零阶优化的方法，将自编码器与模型结合，并在此基础上设计了 ZO-AE-DS，该方法在图像分类和重建任务上表现出更好的准确性、可靠性和查询复杂度。

Mar, 2022

本文提出了一种基于坐标平滑梯度估计器的快速零阶随机 ADMM 方法（即 ZO-SVRG-ADMM 和 ZO-SAGA-ADMM），用于解决具有多个非光滑惩罚的非凸问题，证明了这两种方法的收敛速率为 $O（1 / T）$，可以有效地解决许多复杂的机器学习问题。

May, 2019

这篇论文提出了 GenAttack—— 一种基于遗传算法的无梯度黑盒对抗攻击优化技术，在 MNIST、CIFAR-10 和 ImageNet 数据集上成功地生成了对抗性样本，攻击了最新的图像识别模型，且所需的查询量比之前的攻击方法少了几个数量级，且还能攻击一些针对对抗性训练的防御措施，通过实验证明了遗传算法在黑盒攻击研究中的可行性和前景。

May, 2018

提出了一种使用贝叶斯优化来进行黑盒攻击的方法，通过在结构性低维子空间中搜索对抗样本来避免 BO 在高维度下的性能问题，实验结果显示该方法相较现有黑盒攻击算法需要更少的查询次数，并且攻击成功率提高了 2 到 10 倍。

Jul, 2020

本文采用 ADMM（Alternating Direction Method of Multipliers）的算子分裂优化方法来生成对抗样本，统一了 L0，L1，L2 和 L infinity 攻击的方法，与当前领先的攻击方法相比，实验结果表明本文的 ADMM-based methods 是迄今为止最强的，能够实现 100% 攻击成功率和最小扰动。

Apr, 2018

本文提出了一种离散替代方法来解决黑匣子攻击的问题，该方法可以在不需要估计导数的情况下有效地攻击神经网络，降低了之前所提出方法所需的查询次数。

May, 2019

本文提出一种基于 Frank-Wolfe 算法的新型优化算法框架，可同时用于白盒和黑盒情况下的对抗攻击，并表示该算法具有高效性、有效性和优越的性能。

Nov, 2018

本文提出一种用于攻击离散和非连续的机器学习模型的新方法，将难标记黑盒攻击转化为实值优化问题，并且在 MNIST，CIFAR 和 ImageNet 数据集上展示出比现有方法更优异的表现。

Jul, 2018