本文提出了一种名为 Cache Telepathy 的具有快速、准确性的机制，通过 cache 侧信道窃取深度神经网络（DNN）的架构，使用 Prime+Probe 和 Flush+Reload 攻击 VGG 和 ResNet DNNs 运行 OpenBLAS 和 Intel MKL 库的结果表明，我们的攻击能够有效地帮助获得目标 DNN 架构。

Aug, 2018

本文提出利用时间侧信道攻击来推断神经网络模型深度的黑盒神经网络提取攻击，使用知识蒸馏和强化学习，有效减少了搜索空间，可以构造出与目标模型测试精度接近的替代模型，且该方法可扩展，并与神经网络结构类型无关。

Dec, 2018

本文描述了一种新型机器学习模型抽取攻击的方法，并提出了一种名为 PRADA 的检测模型抽取攻击的方法，该方法可以准确检测到之前的模型抽取攻击，且无误报。

May, 2018

神经网络存在漏洞可在双向上执行不同任务的训练，导致对抗者能够将恶意模型隐藏在表面上合法的模型中，此外神经网络还能被教导有系统地记忆和检索特定样本，这些发现展示了一种对抗者能够在受保护的学习环境中以合法模型的假象下窃取数据集的新方法，我们通过重点研究数据窃取攻击表明现代架构可以偷偷窃取数以万计的高保真样本，足以危害数据隐私甚至训练新模型，为了减轻这一威胁，我们提出了一种检测感染模型的新方法。

Nov, 2023

该研究主要研究了如何利用差分攻击方法，通过查询神经网络的关键点来窃取模型参数，从而实现更高精度的模型抽取。

Mar, 2020

基于对对抗性图像分类模式的观察，我们提出一种用于盗取模型的方法，结合时间侧信道和对抗性图像分类，以指纹识别多个著名的卷积神经网络和 Vision Transformer 架构，该方法可在减少查询次数的同时保持高准确率。

Feb, 2024

通过简单蒸馏，使用仅一个小尺寸的查询图像即可窃取很多基于图像转换的模型，包括去噪、去模糊、去雨点、超分辨率和生物图像转换。

Jun, 2024

Mercury 是首个对现成的 Nvidia DNN 加速器进行自动远程侧信道攻击的系统，通过将侧信道提取过程建模为序列到序列问题，利用时间到数字转换器（TDC）远程收集目标模型推理的功耗迹线，然后使用学习模型从功耗迹线中自动恢复受害模型的架构细节，进而使用注意力机制定位对攻击贡献最大的泄漏点，评估结果表明 Mercury 能够将模型提取的错误率保持在 1% 以下。

Aug, 2023

模型反演攻击致力于利用对预训练模型的访问权限揭示关于训练数据的私密信息，这些攻击使得对与私密训练数据密切一致的高保真数据的重建成为可能，从而引发了重大的隐私担忧。尽管该领域取得了快速的进展，但我们仍然缺乏对现有模型反演攻击和防御方法的全面概述。为了填补这一空白，本文对该领域进行了深入研究，并提出了综合调查报告。首先，本文简要回顾了机器学习场景下传统的模型反演方法。然后，对多种模态和学习任务下深度神经网络 (DNNs) 的近期攻击和防御方法进行了详细分析和比较。

Feb, 2024

本文介绍了一种新型攻击方法 —— 生成模型反演攻击，它可以显著地提高逆转深度神经网络的准确率，攻击者使用部分公共信息学习分布先验，引导逆转过程，并且通过实验证明了差分隐私在该攻击下的防御效果有限。

Nov, 2019