本文提出了零阶优化的黑盒攻击方法，该方法不需要训练替代模型而直接估计目标 DNN 的梯度来生成对抗性例子，实验结果表明该攻击方法在 MNIST、CIFAR10 和 ImageNet 的数据集上与白盒攻击方法效果相当且明显优于现有的替代模型的黑盒攻击方法。

Aug, 2017

本文提出了一种针对黑盒模型的防御式操作，通过基于降噪平滑和零阶优化的方法，将自编码器与模型结合，并在此基础上设计了 ZO-AE-DS，该方法在图像分类和重建任务上表现出更好的准确性、可靠性和查询复杂度。

Mar, 2022

本文提出了一个基于 Hessian 矩阵的零阶优化算法 ZO-HessAware，用于黑盒对抗攻击，该算法的实验证明在结构化 Hessian 逼近的情况下，具有更好的零阶收敛率和查询复杂度。

Dec, 2018

提出了一种新的基于梯度估计的黑盒攻击方法，攻击者可以查询目标模型的类概率，无需使用可转移性。该攻击在 MNIST 和 CIFAR-10 数据集上的攻击成功率均超过 100％，同时成功攻击了 Clarifai 的实时图像分类器和最新防御方法。

Dec, 2017

这篇论文提出了 GenAttack—— 一种基于遗传算法的无梯度黑盒对抗攻击优化技术，在 MNIST、CIFAR-10 和 ImageNet 数据集上成功地生成了对抗性样本，攻击了最新的图像识别模型，且所需的查询量比之前的攻击方法少了几个数量级，且还能攻击一些针对对抗性训练的防御措施，通过实验证明了遗传算法在黑盒攻击研究中的可行性和前景。

May, 2018

采用交替方向乘数法 (ADMM) 作为基础框架，结合零阶优化 (ZO) 和贝叶斯优化 (BO) 等技术，提出了两种新的黑匣子对抗攻击方法 ZO-ADMM 和 BO-ADMM，用于各种扭曲度量和反馈设置，相较于现有攻击方法，该方法能够以较低的查询复杂度取得更高的攻击成功率。在图像分类数据集上进行的实证研究证明了该方法的有效性。

Jul, 2019

本文提出了一种离散替代方法来解决黑匣子攻击的问题，该方法可以在不需要估计导数的情况下有效地攻击神经网络，降低了之前所提出方法所需的查询次数。

May, 2019

DeepZero 是一个基于 Zeroth-order optimization 的深度学习框架，通过三个主要创新使得 ZO 优化可用于深度神经网络的训练，同时实现了与一阶优化相当的性能，其优点包括坐标梯度估计（CGE）在训练准确性和计算效率上的优势，以及利用模型剪枝方法扩展稀疏 DL 先验信息的 ZO 训练协议，并通过特征重用和前向并行化方法提高 ZO 训练的实际实施。

Oct, 2023

本文提出一种用于攻击离散和非连续的机器学习模型的新方法，将难标记黑盒攻击转化为实值优化问题，并且在 MNIST，CIFAR 和 ImageNet 数据集上展示出比现有方法更优异的表现。

Jul, 2018

该研究提出 AutoZOOM 框架，通过自动编码器和自适应梯度估计策略，在保持攻击成功率和视觉质量的同时，显著减少了黑盒攻击中模型查询的数量，从而在对抗性稳健性方面提供了新的见解。

May, 2018