通过使用生成对抗网络在潜在空间中注入对抗性扰动，避免了基于边缘的先验条件并确保了与基于像素的对抗性攻击方法相比视觉上真实的高度，实现了在 MNIST，CIFAR10，Fashion-MNIST，CIFAR100 和 Stanford Dogs 数据集上生成对抗攻击的有效性。

Apr, 2023

通过利用最近的扩散模型的潜在空间中的语义信息，本文提出了一个快速生成语义对抗攻击的框架，并在 CelebA-HQ 和 AFHQ 数据集上进行了大量实验，与其他基线相比，我们的框架在多种情境中取得了极高的成功率，最佳 FID 为 36.61。

Sep, 2023

本文提出了一种实用的针对深度神经网络的对抗攻击方法，通过语义意义感知的结构化扰动来操纵图像的语义属性，以此生成针对黑盒分类器的对抗扰动，并提出了两种无监督的语义操作方法，通过在潜在空间中扰动单个或多个潜在因素，并在真实图像数据上进行大量实验，证明了其能力的强大性，同时也论证了普适于所有图像的语义对抗样本的存在。

Jan, 2020

通过引入语义感知扰动来生成有效和逼真的对抗性样本，该方法在复杂数据集（如 ImageNet 和 MSCOCO）上针对图像分类和图像字幕任务进行了有效应用，且经综合用户研究证明其较其他攻击更为逼真。

Apr, 2019

本研究旨在探索语义干扰对深度神经网络预测结果的影响，并通过提出的算法 SemanticAdv 来生成对各种 “对抗性” 目标偏离的扰动，从而欺骗深度神经网络。实验结果表明，具有控制语义干扰的对抗性例子不仅可以迷惑不同的学习任务，还可以对抗基于迁移的真实世界黑盒服务。

Jun, 2019

基于感知色彩空间和空间变换的对抗例子生成方法具有高置信度和有利的近似感知距离结果。

Oct, 2023

本文提出了一种名为 LVAT 的新的规则化方法，将扰动注入潜在空间以生成理解性更强的对抗样本，并在图像分类任务的超视觉和半监督学习情景中使用 SVHN 和 CIFAR-10 数据集验证其性能，证明其优于其他现有方法及 VAT。

Nov, 2020

研究深度变分自编码器的潜在空间的稳健性，证明可以扰动潜在空间并使分类概率近乎相等，从而保证解码器输出不受攻击影响。

Nov, 2017

通过引入感知度量标准，提出一种新的对抗攻击威胁模型，探究不同攻击样式之间的融合以及在此基础上进行对抗训练，从而实现在保持感知扭曲度不变的情况下取得更高的误分类率。

Feb, 2019

提出一种基于永续度量的方法，通过创造高度扭曲网络特征空间的攻击来达到高度通用的敌对样本，旨在打破相对有限的目前攻击的限制，并可将其通过多个网络扩展到多个任务。

Nov, 2018