本文提出了一种新的黑盒对抗攻击方法，通过使用预训练模型学习低维嵌入，然后在此嵌入空间内进行高效搜索，从而攻击未知目标网络。该方法能够生成具有高级语义模式的对抗性扰动，易于迁移，可大大提高黑盒对抗攻击的查询效率。作者在 MNIST、ImageNet 和 Google Cloud Vision API 上进行评估，并在 CIFAR10 和 ImageNet 上攻击对抗性防御网络，取得了良好的攻击效果。

Nov, 2019

本文提出了一种翻译不变攻击方法，该方法利用一个翻译图像集合上的扰动以生成更易于转移的对抗示例，并表明该方法通常适用于任何梯度攻击方法。作者在 ImageNet 数据集上广泛实验验证了该方法的有效性，并证明该攻击技术的存在不安全性。

Apr, 2019

本文通过大规模系统的实证研究，探究了云端机器学习服务平台的漏洞和其普遍存在的在深度神经网络中的 “对抗攻击” 问题，发现先前的假设和结论在真实世界环境下不再一致，并指出了对未来研究方向的启示。

Apr, 2022

在频率域中进行细粒度扰动优化的可传递对抗攻击方法能够增强攻击传递性，有效绕过各种防御措施。

Dec, 2023

本论文提出了一种学习如何生成可迁移的对抗扰动的方法，该方法结合了数据增广、模型增广和元学习算法，实验证明该方法的成功率比当前最先进的方法提高了 12.85％。

Dec, 2021

该研究论文探讨了对抗性样本及训练，以及如何生成更强的对抗性样本以提高鲁棒性，介绍了集成对抗性训练技术，并表明在 ImageNet 数据集上应用该技术可以显著提高模型的鲁棒性。

May, 2017

对机器学习模型的黑盒攻击是可能的，即使它们的结构不同。通过生成对抗性样本，并利用受害者模型标记合成训练集，攻击者可以训练出自己的替代模型，并将对抗性样本转移到受害者模型中实施攻击，该方法可以使用新的技术使攻击过程更加有效率，在 Amazon 和 Google 等公司的商业机器学习分类系统中展示了攻击的有效性。

May, 2016

通过截断幂迭代提供隐层雅可比矩阵的 $(p,q)$- 奇异向量的稀疏通用白盒对抗攻击，我们的方法在不同设置下使用 ImageNet 验证子集进行了分析，在仅破坏 5% 的像素并使用 256 个样本用于扰动拟合的情况下，取得了与稠密基线可比的超过 50% 欺骗率的结果。我们还展示了我们的算法允许更高的攻击强度而不影响人类解决任务的能力。此外，我们发现所构建的扰动在不同模型之间具有很高的可转移性，而不会显著降低欺骗率。我们的发现证明了最先进模型对稀疏攻击的脆弱性，并凸显了开发强大的机器学习系统的重要性。

Jan, 2024

通过自适应地控制每个模型输出的融合，监测其对于攻击目标的贡献差异比率，本文提出了一种自适应集成攻击（AdaEA）方法，并引入一个降低差异的滤波器以进一步同步更新方向，从而在各种数据集上取得了显著改进，同时能够提升已有的基于迁移的攻击方法，进一步证明了其高效性和多功能性。

Aug, 2023

论文介绍一种新型的对抗攻击方法 DiffAttack，该方法利用扩散模型的生成和判别能力，在隐空间中生成人类感知不到的、带有语义线索的扰动，并采用内容保持结构。考虑到攻击的传递性，DiffAttack 进一步 “欺骗” 扩散模型，以分散其注意力，达到更好的转移性能，实验结果表明，DiffAttack 在各种模型结构和防御方法下具有更高的攻击成功率。

May, 2023