本论文提出了一种新的自然色欺骗（NCF）方法，它是由公开可用数据集中采样的实际颜色分布所指导，并通过我们的邻域搜索和初始化重置进行优化，以提高对抗性示例的可转移性而不损害图像质量。

Oct, 2022

通过引入语义感知扰动来生成有效和逼真的对抗性样本，该方法在复杂数据集（如 ImageNet 和 MSCOCO）上针对图像分类和图像字幕任务进行了有效应用，且经综合用户研究证明其较其他攻击更为逼真。

Apr, 2019

本文提出了一种新类的对抗样本 ——“语义对抗样本”，即通过对图像进行任意扰动来欺骗模型，但修改后的图像在语义上代表的仍是原始图像，通过构建约束优化问题和基于人类认知系统的形状偏置特性的对抗变换，生成对抗图像的颜色转移极大影响了 Deep neural networks 模型精度。

Mar, 2018

基于感知色彩空间和空间变换的对抗例子生成方法具有高置信度和有利的近似感知距离结果。

Oct, 2023

本文通过对参数条件生成模型的范围空间进行对抗性损失的优化，提出了一种新颖的方法来生成 “语义” 对抗性示例，并在面部图像上展示了其攻击的效果。

Apr, 2019

本文提出了一种基于低频领域的对抗攻击方法，能够有效地减少模型查询次数，即使模型和防御策略未知，也能规避图像转换的防御策略，并展示了使用该技术欺骗 Google Cloud Vision 平台模型查询次数极低的成果。

Sep, 2018

提出了功能性对抗攻击模型，以用于欺骗机器学习模型的对抗性示例，可以比单个像素扰动更少地干扰输入特征，并结合现有的加法威胁模型，生成强大的威胁模型，其中包括不属于单个模型的扰动。

May, 2019

本文提出了一种新的对抗攻击方法，通过扰动表示样式的抽象特征，包括可解释和不可解释的风格，诸如鲜艳色彩和锐利轮廓等，通过优化程序注入难以察觉的风格变化，实现深度神经网络模型误分类，我们展示了该方法产生的对抗样本比现有的非受限制攻击更加自然，并支持现有的像素空间的对抗攻击检测和防御技术难以在风格相关特征空间中保证模型的鲁棒性。

Apr, 2020

该论文提出了一种基于内容的无限制对抗攻击框架，通过利用表示自然图像的低维流形将图像映射到该流形并优化其沿着其对抗方向以实现对抗攻击，实现了基于稳定扩散的对抗内容攻击，可生成具有多种对抗内容的高度可转移的无限制对抗样例。

May, 2023

本文提出了 EdgeFool 这种对抗图像增强滤波器，通过训练具有多任务损失函数的完全卷积神经网络生成增强图像细节变换的修改来实现误分类。在 ImageNet 和 Private-Places365 上使用三个分类器（ResNet-50，ResNet-18 和 AlexNet）评估 EdgeFool，并将其与六种对抗方法（DeepFool，SparseFool，Carlini-Wagner，SemanticAdv，Non-targeted 和 Private Fast Gradient Sign Methods）进行比较。

Oct, 2019