本文提出了一种利用 GAN-based framework 来绕过 hard label，仅仅通过访问 top-1 prediction 的方式，以及不访问模型梯度和训练数据的情况下偷取机器学习模型的方法，同时通过利用公开数据集来降低查询成本，并在 100 类数据集上展示了模型窃取的规模性。

Apr, 2022

本文提出了一种基于协作生成替代模型网络的无数据模型窃取框架 MEGA，该框架通过合成查询示例和预测标签来模拟目标模型，并且通过最大化替代模型的置信度来生成图像，实验表明，该框架所训练的替代模型和黑盒敌对攻击的成功率均比现有的数据无关的攻击方法高。

Jan, 2022

本文提出了 MEGEX，针对一种梯度可解释人工智能的数据自由模型提取攻击。攻击者使用解释结果来训练生成模型以减少查询次数，可以在不准备输入数据的情况下成功窃取训练好的模型。实验表明，在 SVHN 和 CIFAR-10 数据集上，给定 200 万和 2000 万个查询，我们提出的方法可以重构高准确度的模型，分别是受害模型准确度的 0.97 倍和 0.98 倍，这暗示着模型的可解释性和难以窃取之间存在折衷。

Jul, 2021

本文设计了一种零知识的非定向攻击 (ZKA)，通过合成恶意数据来制造对抗性模型，无需窃听良性客户端的传输或需要大量的任务特定训练数据。实验结果表明，ZKA 可以绕过各种防御机制，高攻击成功率，克服了传统攻击方法的缺陷。

Feb, 2022

这篇论文介绍了一种新的无数据硬标签鲁棒性窃取攻击方法，该方法通过查询目标模型的硬标签而无需任何自然数据，实现了对模型准确性和鲁棒性的窃取，实验证明其有效性。

Dec, 2023

本文提出了零阶优化的黑盒攻击方法，该方法不需要训练替代模型而直接估计目标 DNN 的梯度来生成对抗性例子，实验结果表明该攻击方法在 MNIST、CIFAR10 和 ImageNet 的数据集上与白盒攻击方法效果相当且明显优于现有的替代模型的黑盒攻击方法。

Aug, 2017

本文提出了零阶自然梯度下降（ZO-NGD）方法，以设计对抗性攻击，通过采用零阶梯度估计技术和二阶自然梯度下降方法，在黑盒攻击场景中提高查询效率，并在图像分类数据集上进行实证评估，证明 ZO-NGD 相对于现有攻击方法可以获得显著的模型查询复杂度降低。

Feb, 2020

通过生成器人工策划的查询，对于第一次扩展到用于预测物体检测中的边界框坐标的回归问题的黑盒子攻击，提出了一个无数据模型提取技术，发现定义损失函数和使用新型生成器设置是提取目标模型的关键。所提出的模型提取方法通过合理的查询取得了显著的结果，该物体检测漏洞的发现将有助于未来保护这类模型的前景。

Aug, 2023

该研究提出了一种基于无数据的知识迁移技术进行模型抽取的方法，解决了模型抽取攻击需要训练数据集的限制，并在黑盒模型中通过逼近梯度和选择合适的损失函数，实现了对珍贵模型的精准复制。

Nov, 2020

本文提出了一种针对黑盒模型的防御式操作，通过基于降噪平滑和零阶优化的方法，将自编码器与模型结合，并在此基础上设计了 ZO-AE-DS，该方法在图像分类和重建任务上表现出更好的准确性、可靠性和查询复杂度。

Mar, 2022