该文章为图像分类器的稳健性建立了严格的基准测试，并提出了两个基准测试 ImageNet-C 和 ImageNet-P，用于评估分类器对常见扰动和干扰的稳健性。研究发现，从 AlexNet 分类器到 ResNet 分类器，相对污染鲁棒性几乎没有变化，而绕过的对抗性防御提供了实质性的常见干扰强度。

Mar, 2019

该研究探讨了在保证标准准确率的前提下提高对抗性鲁棒性的方法，介绍了Max-Mahalanobis中心损失函数，强制在特征空间中诱导高密度区域，以使学习到的特征点更加紧凑和有序，从而提高对抗性防御水平。

May, 2019

我们提出了评估模型质量的最小必要信息(MNI)准则，训练与该准则相对应的新的目标函数Conditional Entropy Bottleneck(CEB)模型以及比较该模型与确定性模型和变分信息瓶颈(VIB)模型表现的实验结果支持了我们关于机器学习中鲁棒泛化失败的假设。

Feb, 2020

为了建立标准化的对抗性鲁棒性基准，我们考虑了图片分类任务，并引入了允许的模型限制，使用 AutoAttack 进行评估，同时提供80多种鲁棒模型的开源库，分析了鲁棒性对分布偏移、平滑性等性能的影响。

Oct, 2020

通过比较没有鲁棒性的CNN（一般训练）和有鲁棒性的CNN（对抗性训练），我们从通道层面研究了CNN的对抗性鲁棒性，发现对抗性训练通过使对抗数据与相应的自然数据的通道层次之间对齐来增强CNN的鲁棒性，并且引入CIFS机制进一步压制了对预测贡献不利的通道并增加了对预测贡献有益的通道。

Feb, 2021

本文探讨了如何使用仅基于原始训练集的生成模型来人为地增加原始训练集的大小并提高对扰动的鲁棒性，并证明了即使添加非现实的随机数据也可以提高鲁棒性。在CIFAR-10、CIFAR-100、SVHN和TinyImageNet上进行了大量的绝对准确度改进，对于常见扰动的数据集，本文方法的结果优于大多数使用外部数据的先前工作。

Oct, 2021

本篇研究讨论了RobustBench在实际应用中作为鲁棒性关键指标的适用性，通过对该平台中数据更改和分辨率等方面的分析实验，提出了两个观点：一是数据更改强度过大，无法反映真实情况；二是基于梯度的攻击在低分辨率上表现较好，但对于高分辨率数据不具有泛化能力。

Dec, 2021

使用最先进的扩散模型生成额外的训练数据可以极大地提高敌对训练的鲁棒性，该方法同样可以明显提高确定性认证防御的鲁棒性，我们还提供了一些建议来扩展认证训练方法的鲁棒性。

May, 2023

本文介绍了在安全关键应用中，对抗攻击对部署最先进的分类器构成重大威胁；总体上，经验证的防御方法虽然具有鲁棒性保证，但是实践中的对抗训练比较受欢迎。我们系统性地比较了这两种鲁棒性训练方法在多个计算机视觉任务中的标准错误和鲁棒错误，结果表明，在大多数任务和威胁模型下，采用凸松弛的认证训练比采用对抗训练更容易带来标准错误和鲁棒错误。此外，我们还探讨了认证和对抗训练之间的错误差距如何依赖于威胁模型和数据分布，并且除了扰动预算外，我们还确定了扰动集的形状和数据分布的隐式边缘等重要因素。本文在合成和图像数据集上进行了大量消融实验，证明我们的观点。

Jun, 2023

通过提出一种新的方法，同时追求高准确性和具有认证的概率鲁棒性，我们的实验显示该方法在多个模型和数据集上的认证率和准确性方面明显优于现有方法。

Sep, 2023