通过对最近的 VLP 模型的对抗性传递性进行第一次研究，我们观察到现有方法在传递性方面表现较低，这部分原因是由于对跨模态交互的利用不足。因此，我们提出了一种高传递性的集合级引导攻击（SGA）方法，该方法充分利用模态交互，并结合保留对齐的增强和跨模态引导。实验结果表明，SGA 能够生成强力传递到不同 VLP 模型上的对抗性示例，在多个下游视觉语言任务中，SGA 显著增强了从 ALBEF 到 TCL 的传递攻击的成功率，比现有技术至少提高了 9.78％，最高可达 30.21％。

Jul, 2023

采用几何学算法 Cayley-Menger 行列式的 C2L 方法生成伪标签，以在转移学习中自动创建源模型，与经过广泛人类注释的 ImageNet1K 标签相比，其基本模型具有相似或更好的可转移性，从而使最终错误率降低 0.43％，其中 5 个不同数据集中的 4 个错误率减少。

Jul, 2022

使用贝叶斯深度学习技术，以神经网络权重的后验分布进行抽样建立一个 surrogate，可以进一步提高黑盒攻击的可转移性，本文探究了提高攻击可转移性的训练方法， 将我们方法的表现与几种已有方法进行了比较，能够在 ImageNet 上获得 94% 的准确率。

Nov, 2020

本文通过大规模系统的实证研究，探究了云端机器学习服务平台的漏洞和其普遍存在的在深度神经网络中的 “对抗攻击” 问题，发现先前的假设和结论在真实世界环境下不再一致，并指出了对未来研究方向的启示。

Apr, 2022

本文提出了一种新的黑盒对抗攻击方法，通过使用预训练模型学习低维嵌入，然后在此嵌入空间内进行高效搜索，从而攻击未知目标网络。该方法能够生成具有高级语义模式的对抗性扰动，易于迁移，可大大提高黑盒对抗攻击的查询效率。作者在 MNIST、ImageNet 和 Google Cloud Vision API 上进行评估，并在 CIFAR10 和 ImageNet 上攻击对抗性防御网络，取得了良好的攻击效果。

Nov, 2019

通过对包含 117M 个参数的 GPT-2 模型的攻击，我们发现这些通用对抗触发器可能仅仅是嵌入向量，它们近似于对抗训练区域中的语义信息，从而为大型语言模型的通用对抗攻击提供了一个新的几何学视角。

Sep, 2023

本文提出了一种名为查询先验方法的新方法，通过使用少量的查询来增强快速梯度符号法的攻击可传递性，理论分析和广泛的实验表明，我们的方法可以显著提高基于梯度的对抗攻击在 CIFAR10/100 和 ImageNet 上的可传递性，并优于具有相同少量查询的黑盒查询攻击。

May, 2022

传统的迁移攻击成本高，噪音明显且对防御方法难以有效回避。本文通过生成自然、非受限的对抗样本，提出了 AdvDiffVLM 方法，利用扩散模型和自适应集成梯度估计改善了传统方法的缺陷，并通过 GradCAM-guided Mask 方法提高了样本质量。实验结果显示，我们的方法在速度上比现有方法快 10 倍至 30 倍，并保持了超强的对抗样本质量。此外，生成的对抗样本在攻击上具有强大的迁移性，并对对抗性防御方法表现出增强的抗性。值得注意的是，AdvDiffVLM 可以以黑盒方式成功攻击商业化的大型视觉语言模型，包括 GPT-4V。

Apr, 2024

本文提出了一种翻译不变攻击方法，该方法利用一个翻译图像集合上的扰动以生成更易于转移的对抗示例，并表明该方法通常适用于任何梯度攻击方法。作者在 ImageNet 数据集上广泛实验验证了该方法的有效性，并证明该攻击技术的存在不安全性。

Apr, 2019

本文提出了一种对现有数字图像篡改定位算法进行真实世界应用安全性评估的对抗性攻击方案，通过基于优化和梯度的敌对示例的白盒和黑盒攻击来揭示这种篡改定位器的可靠性，从而准确预测篡改区域并保持高视觉质量的同时，大大降低了定位精度。

Sep, 2023