本文介绍了针对对抗样本进行防御的困难性，提出了新的方法来评估防御方法的效果并建议研究者和读者使用这些方法以避免常见陷阱。

Feb, 2019

针对对抗样本的防御，如对抗训练，通常针对单个干扰类型（例如小的l∞-噪声），对于其它类型的干扰，这些防御没有保障，甚至会增加模型的脆弱性。我们的目标是了解这种鲁棒性取舍背后的原因，并训练同时对多种扰动类型具有鲁棒性的模型。

Apr, 2019

在神经网络的研究中，我们开发了一种新的梯度基础的对抗攻击方法，相较于已有的攻击方法，它更可靠，可以适应广泛的对抗标准，并且在提高效率的同时，不需要进行超参数调整，这将对神经网络的鲁棒性评估做出有益的贡献。

Jul, 2019

深度学习领域的对抗攻击和防御是目前研究的活跃领域。本文针对防御方法进行分类，提出了不同的分类方法：通过增加特征向量的类内紧凑性和类间分隔性来提高对抗鲁棒性，减小或移除非鲁棒图像特征来提高对抗鲁棒性。通过这种重新构架话题的方式，提供了新的视角，深入探讨使网络变得更加强健的潜在因素，启发了更多的解决方案。此外，文献中有一些关于对抗防御成本问题和鲁棒性与准确性之间的权衡的论述，但我们提出的分类方法可以解决这些问题。本文提出了几项挑战，以此推动深度学习研究的进一步发展。

Oct, 2019

本文提出两个方法以提高PGD攻击的效率，进而结合现有方法构成一个全新的攻击集合，用于测试对抗鲁棒性，并在50多个模型上进行了测试，发现一些已经被攻破的防御机制。

Mar, 2020

为了建立标准化的对抗性鲁棒性基准，我们考虑了图片分类任务，并引入了允许的模型限制，使用 AutoAttack 进行评估，同时提供80多种鲁棒模型的开源库，分析了鲁棒性对分布偏移、平滑性等性能的影响。

Oct, 2020

该研究提出了一种测试方法以识别弱攻击和防御评估，为了增强透明和信心，将攻击单元测试作为未来强度评估的重要组成部分。

Jun, 2022

该研究探讨了在深度学习领域，对抗性鲁棒性的问题及其解决方法，提出了领域泛化和风险外推方法来应对不同攻击方式，对测试攻击的准确率得到了大幅提升。

Oct, 2022

通过提出一种新的测量指标——对抗超体积（adversarial hypervolume），该研究验证了该指标对于揭示深度学习模型鲁棒性中微妙差异的有效性，为当前和未来的防御模型的韧性评估和基准制定提供了标准。

Mar, 2024

当前关于对抗样本的防御研究主要集中在实现对单一攻击类型的健壮性，然而，可能的扰动空间更广泛，目前无法由单一攻击类型建模。当前防御方法的关注点与攻击空间的差异性引发了对现有防御方法的可行性和评估的可靠性的质疑。在本立场论文中，我们主张研究界应该超越单一攻击健壮性，并着重介绍三个潜在方向，包括：多同时攻击健壮性、未知攻击健壮性以及我们所定义的连续自适应健壮性问题。我们提供了一个统一的框架，严格定义了这些问题设置，综合了这些领域的现有研究，并概述了开放性研究方向。我们希望我们的立场论文能够激发出更多关于多同时攻击、未知攻击和连续自适应健壮性的研究。

May, 2024