我们改进了 Carlini 等人的攻击方法，通过开发数种新技术，我们能够在多项式数量的查询和时间下，以任意高的精度提取基于 ReLU 的 DNN 的所有实数参数。我们在具有 3072 个输入、8 个隐藏层每层 256 个神经元和超过百万个神经元参数的 CIFAR10 数据集分类的全尺寸神经网络上应用我们的技术，并证明了其实际效率。与 Carlini 等人的方法相比，我们的攻击只需要在一台具有 256 个核心的计算机上花费 30 分钟，而不需要超过 2 的 256 次方的穷举搜索。

Oct, 2023

该研究评估了对于在标准基准上训练的模型使用 Carlini 等人 [1] 进一步加强的参数提取方法的可行性，引入了统一的代码库并发现计算工具可以显著影响性能；通过识别更容易和更难提取的神经元，开发了进一步的优化方案，将提取权重值的效率提高了 14.8 倍；改进后，在只有 98 分钟的时间内，成功地提取了一个在 MNIST 数据集上训练的具有 16,721 个参数和 2 个隐藏层的模型，相较于之前至少需要 150 分钟的时间，同时针对先前研究中观察到的方法论缺陷，提出了未来模型提取攻击的新型健壮基准测试方法。

Jun, 2024

本文介绍了模型提取攻击的两种不同目标 —— 准确度和等效性，并介绍了对于直接提取模型权重的功能性提取攻击的扩展，以及在学术数据集和一种使用 10 亿专有图像训练的最先进图像分类器上进行的实验。

Sep, 2019

本文提出利用时间侧信道攻击来推断神经网络模型深度的黑盒神经网络提取攻击，使用知识蒸馏和强化学习，有效减少了搜索空间，可以构造出与目标模型测试精度接近的替代模型，且该方法可扩展，并与神经网络结构类型无关。

Dec, 2018

本文提出了在基于图神经网络的机器学习模型中进行模型抽取的方法，以解决对关系数据中的深度神经网络进行攻击的问题。

Dec, 2019

本研究基于黑盒访问网络，提出第一个多项式时间算法以学习任意单隐藏层神经网络激活函数，并在高斯测量意义下实现对原神经网络的低二次误差，即使在最坏情况网络下，算法仍保证良好的效率。

Nov, 2021

通过简单的模式识别分析，我们提出了一种针对传统 MLP 和 CNN 模型的提取方法，该方法可以运行在高端 32 位微控制器（Cortex-M7）上，并且相对于参数提取而言，攻击的复杂性相对较低，强调了对适应这种平台的强大内存和延迟要求的可行性保护的迫切需求。

Nov, 2023

该论文研究了机器学习模型面临的模型训练攻击问题，在实验中成功地运用了攻击方法将 GNN 模型复制出来，可对图形结构和节点特征进行提取攻击

Oct, 2020

模型提取是一种关键的安全威胁，它通过算法和基于实现的方法进行攻击，我们关注嵌入式深度神经网络模型及标准错误攻击策略以进行模型提取攻击，成功地恢复了至少 90% 最显著位，并仅使用 8% 的训练数据集训练出了与受害模型近乎相同精度的替代模型。

Aug, 2023

本文提出了 MEGEX，针对一种梯度可解释人工智能的数据自由模型提取攻击。攻击者使用解释结果来训练生成模型以减少查询次数，可以在不准备输入数据的情况下成功窃取训练好的模型。实验表明，在 SVHN 和 CIFAR-10 数据集上，给定 200 万和 2000 万个查询，我们提出的方法可以重构高准确度的模型，分别是受害模型准确度的 0.97 倍和 0.98 倍，这暗示着模型的可解释性和难以窃取之间存在折衷。

Jul, 2021