研究发现存在一种针对强化学习的安全威胁，攻击者通过毒化学习环境的奖励和转移概率来强制执行特定的策略，提出了一种攻击代价度量的最优化框架，并在离线和在线两种情况下验证了攻击者可以通过一个优雅的攻击在很宽松的条件下让受害者代理执行任意策略，这表明强化学习代理在实践应用中存在很大的安全威胁。

Nov, 2020

本文提出了一种针对在线深度增强学习的黑盒定向攻击方法，通过在训练时进行奖励污染，攻击突破了未知环境和未知算法的限制，并且攻击成本较低。作者通过实验验证，在不同的环境和学习器中，攻击可以高效地导致学习代理到达各种目标策略。

May, 2023

在两个代理环境中，研究了攻击者通过修改同伴的策略来隐性毒化其中一个代理器的有效环境的针对性中毒攻击，并提出了一个优化框架，用于设计最优攻击。通过实验展示了算法的有效性。

Feb, 2023

我们研究了利用深度神经网络进行函数逼近的一般离线强化学习中奖励污染攻击问题。我们提出了一种名为 `策略对比攻击` 的攻击策略，通过使一些低性能策略看起来像高性能策略，同时使高性能策略看起来像低性能策略来进行攻击。据我们所知，这是首个在一般离线强化学习环境中提出的黑盒奖励污染攻击。我们在攻击设计上提供了理论洞察，并通过在不同类型的学习数据集上实证表明我们的攻击对当前最先进的离线强化学习算法有效。

Feb, 2024

本研究针对批量强化学习和控制中的安全威胁进行了探讨，该攻击旨在污染所学策略。案例针对强化学习中的表格确定等价学习器和控制中的线性二次调节器进行了实例化，并表明了两个实例均可实现全局最优解。

Oct, 2019

研究黑盒奖励污染攻击，设计了一种名为 U2 的新型黑盒攻击来操纵奖励以误导不知道先前知识的 RL 代理，进而学习一种恶意策略，可在最具挑战性的黑盒设置中实现接近最先进白盒攻击的性能。

Feb, 2021

本研究考察了有关毒化攻击的 Reinforcement Learning 算法（强化学习算法）的安全威胁，发现了在有界奖励和无界奖励环境下，通过奖励毒化和行为毒化的组合可以实现对任何目标策略的操作，而在无界奖励环境下则只需要进行奖励毒化攻击就足以将任何高阶最优学习算法转化为任何目标策略，而不需要知道 MDP 的潜在特性，这些研究结果为设计强健性 RL 算法提供了有用的启示。

Aug, 2022

本文提出了防御策略，针对强化学习中的奖励污染攻击，并使用优化框架和性能保证来设计对抗策略。

Feb, 2021

本文提出了一种基于知识共享的策略韧性机制，通过联邦体系结构和元学习方式设计实现，使受污染策略能够更快速地诊断和恢复其策略性能，经实验证明其对于模型有无 RL 算法恢复被污染策略的部署性能有较高的效率和有效性。

Apr, 2023

为确保强化学习在真实系统中的可用性，需要保证其对噪声和对抗性攻击具有鲁棒性。本文研究在线操纵攻击的全类攻击形式，包括状态攻击、观察攻击、行动攻击和奖励攻击。我们通过马尔可夫决策过程（MDP）对隐藏在攻击交互中的元级环境进行建模，并展示了该攻击者设计隐蔽攻击以最大化其预期收益（通常对应于减小受害者价值）的问题。我们证明攻击者可以通过规划或使用标准强化学习技术进行学习，以多项式时间或多项式样本复杂度确定最优攻击策略。我们认为受害者的最优防御策略可以通过解决随机 Stackelberg 博弈获得，该博弈可以简化为部分可观察的交替轮流随机博弈（POTBSG）。攻击者和受害者都不会从偏离各自最优策略中获益，因此这些解决方案具有真正的鲁棒性。虽然防御问题是 NP 困难的，但我们证明在许多情况下最优马尔可夫防御策略可以在多项式时间（样本复杂度）内计算（学习）。

Nov, 2023