深度神经网络在敏感应用领域（如医疗保健和安全）中的使用日益增多，了解这些模型能推断出什么样的敏感信息是必要的。本研究探讨了当从模型 API 中删除领域信息是否能保护模型免受攻击，并提出了自适应领域推断攻击（ADI）方法，通过建立概念层次结构和调整未知训练数据中叶子概念出现的可能性，成功地提取了部分训练数据并改善了模型反转攻击的性能。

Dec, 2023

本文提出了一种基于 Inversion-specific GAN 的新型模型反演攻击方法，通过训练鉴别器不仅区分真伪样本，而且包括目标模型提供的软标签，进而为每个目标类建模私人数据分布，成功率比先前的攻击方式有所提高（150%），而且普适于多种数据集和模型。

Oct, 2020

本文提出了首个针对生成模型的成员推断攻击方法，使用生成对抗网络检测过度拟合并识别训练数据，发现缺陷对于不同的训练参数有不同的灵敏度，防御方法不够有效并会导致生成模型在训练稳定性或样本质量方面表现较差。

May, 2017

本文介绍了一种新型攻击方法 —— 生成模型反演攻击，它可以显著地提高逆转深度神经网络的准确率，攻击者使用部分公共信息学习分布先验，引导逆转过程，并且通过实验证明了差分隐私在该攻击下的防御效果有限。

Nov, 2019

本文提出了一种新的训练范式，通过引入语义损失函数和注入对抗样本来增加训练数据的多样性，从而使攻击模型在数据重建过程中更加关注原始数据的类相关部分，进而提高现有学习攻击的性能。

Jun, 2023

通过仅利用目标生成模型的生成分布和辅助非成员数据集，我们提出了对各种生成模型（如生成对抗网络、变分自编码器、隐式函数和新兴的扩散模型）的第一个广义成员推断攻击，验证了所有生成模型都对我们的攻击易受攻击，我们呼吁设计和发布生成模型时要注意此类隐私泄漏风险。

Oct, 2023

本研究提出了一种新型生成对抗网络（MiddleGAN），通过输入源域和目标域相似的样本生成领域无关样本，以训练处理目标领域分类任务的分类器，通过在 24 个基准测试中的实验证明，在特定的基准中，MiddleGAN 在现有算法中的表现出了高达 20.1％的优异性能。

Nov, 2022

通过对已有威胁模型的不足进行理论和实证研究，我们提出了 MintA，一个针对基于 GNN 的恶意域名检测的推理时多实例对抗攻击，通过优化扰动改进节点和邻域的隐蔽性，在仅拥有黑盒访问目标模型的情况下操作成功，无需了解模型的具体细节或非对抗节点，实证结果表明其攻击成功率超过 80％，这为安全专家提出了一个警示，突显了 GNN-based MDD 的易受实际攻击的脆弱性和失效性。

Aug, 2023

该论文对 GNNs 进行了系统研究，提出了 GraphMI 方法用于推断私有训练数据中的离散边缘，建议更有效的隐私防御措施。

Sep, 2022

本研究提出了一种基于强化学习的黑盒模型反演攻击方法，利用生成对抗网络（GANs）和 Markov 决策过程来搜索潜在空间以构建训练机器学习模型所用的隐私数据，并且在各种数据集和模型上取得了最先进的攻击性能。

Apr, 2023