本文介绍了一种新的黑匣子对抗攻击方法，该方法基于规范化流来对给定目标图像周围的对抗性样本密度进行建模，在生成的对手中，其具有更接近干净数据分布的属性，从而使其检测不太可能。此外，与部分现有的攻击方法相比，论文实验证明该方法具有较强的攻击性能。

Jul, 2020

通过提出一种新的 Normalize Flow-based 全链路攻击框架，称为 AFLOW，以在严格约束条件下合成不可察觉的对抗性样本，该方法能够在图像质量和攻击能力上具有卓越性，甚至在健壮模型上也能取得比以前方法更高的攻击效果。

Oct, 2023

研究表明，即使没有内部知识，对深度卷积神经网络进行黑盒攻击并制造对抗性样本是可行的，这暴露了深度神经网络的弱点，为设计安全的网络提供了检验。

Dec, 2016

本研究通过训练一个能够模拟白盒攻击行为的更高效神经网络，证明了白盒攻击优化过程所隐含的知识可以被提取并泛化，可在黑盒情况下攻击 Google Perspective API 并暴露其脆弱性，扰乱 API 的预测结果，而人类对黄金标签的预测准确率仍然很高。

Apr, 2019

本文提出了一种基于神经过程的黑盒对抗攻击方法（NP-Attack），利用神经过程对图像结构信息进行建模，以提高查询效率，实验结果表明，NP-Attack 能显著减少黑盒情况下的查询次数。

Sep, 2020

本文提出了一种新的方法，利用自然进化策略在黑盒攻击下生成可靠的对抗样本，并通过新的算法在部分信息下进行有针对性的攻击，无需使用梯度，可以使用少量的请求操作，成功地对商业部署的机器学习系统进行了第一次有针对性的攻击。

Dec, 2017

深度神经网络被广泛用于各种下游任务，尤其是自动驾驶等安全关键场景，但深度网络常常受到对抗样本的威胁。对抗攻击可以分为白盒攻击和黑盒攻击，前者攻击者知道模型的参数和梯度，后者攻击者只能获取模型的输入和输出。攻击者的目的可以分为有目标攻击和非有目标攻击，黑盒设置是我们实践中会遇到的情况。

Aug, 2023

本文提出一种黑盒对抗攻击算法，通过在输入的小区域内查找概率密度分布，不需要访问 DNN 的内部层或权重，实现了成功攻击不同神经网络的目标。此方法表现出色，可用于测试防御技术。结果表明，对抗训练仍然是最佳的防御技术之一。

May, 2019

本文提出了一种使用生成敌对网络在语义空间中搜索自然和易读的对抗性样本的框架，以验证黑盒子分类器的鲁棒性，并证明该方法可在图像分类，文本蕴含和机器翻译等广泛应用中有效。

Oct, 2017

本文研究了基于流的生成模型的对抗鲁棒性，从理论和实证两个角度出发，研究了几个模型的鲁棒性，并设计了两种类型的对抗攻击，最终使用一个混合对抗训练程序显著提高了这些生成模型的鲁棒性。

Nov, 2019