利用 Vision Transformer 结合 Derandomized Smoothing 进行逐步平滑的图像建模任务来训练并提高证明补丁防御机制的可证准确性，同时重构了原始的 ViT 的全局自注意结构以适用于在实际世界中的高效推理和部署。在 ImageNet 数据集上，在 2% 区域补丁攻击下，本文方法达到 41.70% 的证明准确度，比之前最佳方法高出近 1 倍（26.00%）。同时，本方法达到了 78.58% 的干净准确度，接近正常 ResNet-101 的准确度，并在 CIFAR-10 和 ImageNet 上实现最先进的干净和证明准确度。

Mar, 2022

该论文基于自然污染和对抗攻击的影响，研究了视觉变压器（ViT）和卷积神经网络（CNN）在图像分类中的表现，发现 ViTs 对自然污染更具鲁棒性，但易受对抗性攻击，然后提出了一种简单的基于温度缩放的方法来提高 ViT 对对抗性攻击的鲁棒性。

Nov, 2021

本文提出了 BagCert 架构和认证程序，通过一种新的损失函数实现认证不同大小和位置的对抗破坏，并在 CIFAR10 数据集上取得了对 5x5 对抗破坏下 86% 的准确率和 60% 的认证准确率。

Feb, 2021

该论文通过挖掘网络中的冗余计算研究视觉变换器的效率问题，并提出了一种新颖的修剪方法来减少计算成本，该方法称为修剪补丁法，可以移除无用的补丁，从而显著降低模型的计算成本，而不会影响模型的性能。

Jun, 2021

本论文探讨了 ViTs 和 CNNs 在面对各种对抗攻击时的鲁棒性及其背后的因素，提出了一种名为 Patch-Fool 的攻击框架，通过对单个 patch 进行一系列 attention-aware 优化技术的攻击来愚弄其 self-attention 机制，并发现在 Patch-Fool 攻击下，ViTs 不一定比 CNNs 更具鲁棒性。

Mar, 2022

本研究介绍了一种针对图像贴片对抗攻击的可证明防御方法，并通过对以往方法的比较，证明了该方法在 CIFAR-10 和 ImageNet 上能有效提高防御水平，是当前领先的防御方法之一。

Feb, 2020

本文介绍了对抗补丁攻击的认证和经验性防御措施，其中首次提出了认证防御措施，并实验了不同补丁形状的测试，获得了出人意料的良好的鲁棒性转移。

Mar, 2020

本文提出一种新的损失函数来促进视觉转换器中提取的补丁表示的差异性，以稳定训练并改善下游的语义分割任务的结果。实验证明，这种方法可以训练更广泛和更深的视觉转换器，并在 Cityscapes 和 ADE20k 上增强了最新的结果。

Apr, 2021

PatchCleanser 是一种用于抵御基于物理世界中对受害对象打印和附加补丁的对抗性攻击的、在图片上执行的像素遮蔽的、适用于各种先进的图片分类器以实现高精度的、具有认证稳健性的防御方法。此方法可以证明在某些图像上永远预测正确的类别标签，同时较之前的工作显着提高了认证稳健性。

Aug, 2021

该论文提出了一种通过最坏情况遮盖来提高模型不变性的方法 Greedy Cutout，相比于 PatchCleanser 中的 Random Cutout 增强方式，通过使用 Greedy Cutout 可以提高模型的认证鲁棒性。

Jun, 2023