提出一种基于水印攻击的自然失真对抗生成模型，以应对深度神经网络在光学字符识别中容易受到对抗样本攻击的问题。实验结果表明，水印攻击方法可以生成带有自然水印的对抗样本，并在不同攻击情景下取得类似于现有最先进方法的攻击效果。

Feb, 2020

本文提出利用对抗式机器学习中的稳健优化算法来提高基于卷积神经网络的数字水印框架的鲁棒性，在 COCO 数据集上的实验证明，稳健优化可以显著提高数字水印框架的鲁棒性。

Oct, 2019

本文研究表明，在深度学习的光学字符识别（OCR）技术中，存在对抗性图像漏洞，通过对印刷文字进行轻微修改来替换特定词汇的语义对立体，可以误导 OCR 识别出不正确的文字信息，进而影响 NLP 预处理其输入的应用。

Feb, 2018

本篇研究提出了将图像水印技术和对抗样本算法结合在一起生成一种新的对抗扰动 ——Adv-watermark，并且使用一种新的优化算法 Basin Hopping Evolution (BHE) 生成黑盒攻击模式下的对抗性水印，该方法比其他攻击方法更为高效和鲁棒。

Aug, 2020

本文提出了一种基于条件扩散模型的去水印攻击方法 DiffWA，该方法在未带水印的图像上训练了一个图像到图像的条件扩散模型，并在采样时使用距离引导指导模型生成类似于原始图像的未带水印的图像，实验结果表明，本方法能够有效地去除水印并提高水印提取的误比特率，且攻击后的图像与原始图像相比，保留了较好的视觉效果。

Jun, 2023

本文提出了一种新颖的水印去除攻击方法，能够有效和盲目地破坏水印模型对水印样本的记忆，实现了水印去除，并且提出了一种轻量级的微调策略，以提升模型性能和现有水印的鲁棒性。

Sep, 2020

本文探讨了基于文字的机器学习模型对视觉输入的抵抗力，并表明他们仍然容易受到以文本编码的视觉对抗性示例的攻击，使用 Unicode 功能组合变音符号来操纵编码文本，演示使用遗传算法生成黑盒威胁视觉对抗性示例的效力，并进行用户研究以证明这些模型欺骗性示例不会影响人类理解。最后，通过制造针对 Facebook，Microsoft，IBM 和 Google 发布的生产模型的对抗性示例，展示了这些攻击的实际效果。

Jun, 2023

本文提出了一种自适应攻击（Adaptive Attack）的方法，利用每个任务的不确定性，直接学习自适应多任务的加权方法，以加速来自序列学习任务的对抗攻击方法，并获得了很好的成功率和速度提升，实现了针对场景文本识别的对抗攻击。

Jul, 2018

本文通过对 DNN 水印方案进行评估，发现目前的水印方案在实践中都不够稳健，需要通过更加全面的攻击评估来提高稳健性。

Aug, 2021

使用水印技术可以标记生成内容并通过隐藏信息检测其真实性，我们通过定义目标函数并将自适应攻击作为优化问题来解决水印算法的鲁棒性评估问题，研究发现可在图像质量几乎不降低的情况下破解所有五种受测水印方法，强调了对适应性、可学习的攻击者进行更严格的鲁棒性测试的必要性。

Sep, 2023