本文提出 Adversarial Patch Attack with Momentum（以下简称 APAM）攻击来评估人群计数模型的鲁棒性，使用极密集背景信息的图像生成鲁棒的对抗性贴片，并提出基于回归模型的随机削弱来提高人群计数模型的对抗鲁棒性。

Apr, 2021

本文通过在低维数据流形上规范对抗性贴片生成，从而提高了面部识别系统的鲁棒性，并在数字世界和物理世界上进行了广泛的实验验证。

Jun, 2021

提出了一种新颖的方法，名为 MVPatch，旨在提高对抗性贴片的转移性和隐蔽性，避免易于识别和传输性差的问题。该方法通过使用集成攻击损失函数来降低多个对象检测器的对象置信度分数，从而增强对抗性贴片的转移性，同时使用 CSS 损失函数实现轻量级的视觉相似度测量算法，使得生成的对抗性贴片具有更加自然和隐蔽的外观。广泛的实验表明，与类似算法相比，所提出的 MVPatch 算法在数字和实际领域中都实现了更强的攻击转移性，并展现出更加自然的外观。这些发现强调了所提出的 MVPatch 攻击算法的显著隐蔽性和转移性。

Dec, 2023

本文提出了一种生成难以察觉的对抗性贴片的方法，通过利用多尺度生成器和辨别器粗粒度到细粒度地生成对抗贴片，并在对抗训练中使其保持一致性，从而在白盒设置中展示强大的攻击能力和在黑盒设置中的卓越可转移性。与其他对抗性贴片相比，我们的对抗性贴片具有最小的被检测风险并可以逃避人类观察，这得到了显著实验结果的支持。

Jun, 2021

深度神经网络容易受到各种类型的对抗性样本的攻击，并且现有的对抗性修补方法通常生成的修补具有无意义的噪声或图案，本研究旨在生成真实视觉效果的对抗性修补以欺骗深度神经网络。通过在真实图像的邻域内限制修补的位置，优化位置的不相关性，并采用总变差损失和伽马变换以保留信息，生成的对抗性修补具有卓越的攻击性能，并且可以伪装成物理世界中的涂鸦或标志来欺骗深度模型，给深度神经网络应用带来重大威胁。

Dec, 2023

提出了一种由声音信号触发的物理对抗性贴片 TPatch，其具有声物质注入攻击引入的设计失真，可以在正常情况下保持良性，但可以通过触发来启动隐藏、创造或改变攻击。通过基于内容的伪装方法和攻击韧性增强方法，我们提出了避免引起人类驾驶员怀疑并使攻击在真实世界中实用和强韧的方法。使用三种对象检测器（YOLO V3/V5 和 Faster R-CNN）和八种图像分类器对 TPatch 进行评估，这既在模拟环境中也在真实世界中表明了 TPatch 的有效性。我们还讨论了传感器、算法和系统级别的可能防御方法。

Dec, 2023

本文旨在探讨已有的网络攻防机制在人群计数任务上的有效性。我们提出了一种简单而有效的像素检测机制，利用一个多任务网络中各个输出的相互作用，充分发挥了深度网络在人群计数任务中的性能。最终结果表明我们的机制在攻击与防御之间实现了较好的平衡。

Nov, 2019

本文提出了一种新颖的方法来生成自然的对抗性补丁，该方法不使用 GANs 并通过引入相似度指标构建相似度损失来重新定义优化问题，从而提高实际应用中的攻击效率和鲁棒性。该技术基于直接修改补丁中的像素值，可灵活地同时纳入多种变换。加入 “Creases Transformation”（CT）模块来增加对服装和物体姿态中的各种真实世界扭曲的鲁棒性，并在现场部署的智能相机的 YOLOv3tiny 检测器中展现出了优越的攻击成功率。

May, 2023

本文介绍了一种针对具有高度内类变异的待攻击目标，即人体，生成对抗贴片的方法，并且通过实验表明，我们的系统能显著降低人体检测器的准确性，同时还在实际场景中能够进行攻击。

Apr, 2019

使用感知偏差和语义偏差相结合的偏差架构来生成具有强大泛化能力和普遍性的对抗性补丁，提高攻击的效率和性能。

May, 2020