本研究旨在探索语义干扰对深度神经网络预测结果的影响，并通过提出的算法 SemanticAdv 来生成对各种 “对抗性” 目标偏离的扰动，从而欺骗深度神经网络。实验结果表明，具有控制语义干扰的对抗性例子不仅可以迷惑不同的学习任务，还可以对抗基于迁移的真实世界黑盒服务。

Jun, 2019

通过引入语义感知扰动来生成有效和逼真的对抗性样本，该方法在复杂数据集（如 ImageNet 和 MSCOCO）上针对图像分类和图像字幕任务进行了有效应用，且经综合用户研究证明其较其他攻击更为逼真。

Apr, 2019

本文提出了一种新类的对抗样本 ——“语义对抗样本”，即通过对图像进行任意扰动来欺骗模型，但修改后的图像在语义上代表的仍是原始图像，通过构建约束优化问题和基于人类认知系统的形状偏置特性的对抗变换，生成对抗图像的颜色转移极大影响了 Deep neural networks 模型精度。

Mar, 2018

通过利用最近的扩散模型的潜在空间中的语义信息，本文提出了一个快速生成语义对抗攻击的框架，并在 CelebA-HQ 和 AFHQ 数据集上进行了大量实验，与其他基线相比，我们的框架在多种情境中取得了极高的成功率，最佳 FID 为 36.61。

Sep, 2023

本文通过对参数条件生成模型的范围空间进行对抗性损失的优化，提出了一种新颖的方法来生成 “语义” 对抗性示例，并在面部图像上展示了其攻击的效果。

Apr, 2019

提出了一种有监督的语义转换生成模型，用于生成具有真实和合法语义的对抗性样本，实现了从非对抗性样本到对抗性样本的合法过渡。实验结果表明，生成的对抗性样本不仅具有更好的视觉质量，还实现了更高的攻击可迁移性和更有效的模型漏洞解释。

Feb, 2024

本文探讨了机器学习和深度神经网络在语义分割任务上遭受对抗性干扰的问题，证实了对抗性攻击对该任务也具有显著影响，可以通过不可察觉的对抗性扰动诱导深度神经网络对某一类别像素的错误分类而几乎不影响该类别以外像素的分类。

Mar, 2017

通过在特征表示上进行对抗攻击，使用语义相似性对分类器进行攻击，同时使用低频率约束，保证对抗样本和原始样本的感官相似性和跨数据集泛化。

Mar, 2022

本文提出了一种使用生成敌对网络在语义空间中搜索自然和易读的对抗性样本的框架，以验证黑盒子分类器的鲁棒性，并证明该方法可在图像分类，文本蕴含和机器翻译等广泛应用中有效。

Oct, 2017

本文提出了一种新的对抗攻击方法，通过扰动表示样式的抽象特征，包括可解释和不可解释的风格，诸如鲜艳色彩和锐利轮廓等，通过优化程序注入难以察觉的风格变化，实现深度神经网络模型误分类，我们展示了该方法产生的对抗样本比现有的非受限制攻击更加自然，并支持现有的像素空间的对抗攻击检测和防御技术难以在风格相关特征空间中保证模型的鲁棒性。

Apr, 2020