本文提出了一种新的替代训练视角，着重于设计在知识窃取过程中使用的数据分布，提出了多样化的数据生成模块来综合宽泛的分布的大规模数据，并引入对接近决策边界的数据进行对抗替换训练策略，两个模块的结合可以进一步提高替代模型和目标模型的一致性，大大提高了对抗攻击的有效性。

Apr, 2021

论文介绍一种新型的对抗攻击方法 DiffAttack，该方法利用扩散模型的生成和判别能力，在隐空间中生成人类感知不到的、带有语义线索的扰动，并采用内容保持结构。考虑到攻击的传递性，DiffAttack 进一步 “欺骗” 扩散模型，以分散其注意力，达到更好的转移性能，实验结果表明，DiffAttack 在各种模型结构和防御方法下具有更高的攻击成功率。

May, 2023

提出了一种新方法 AdvDiff，使用扩散模型生成无限制的对抗样本，并通过两种新的对抗引导技术在扩散模型的逆生成过程中进行对抗采样，实现了高质量、逼真的对抗样本生成。实验证明，AdvDiff 在攻击性能和生成质量方面优于基于 GAN 的方法。

Jul, 2023

基于扩散模型的条件采样方法，在黑盒优化中生成接近最佳解且保留设计的潜在结构，通过建立理论模型和进行实验验证，证明了奖励导向扩散模型在黑盒优化中的效率和准确性。

Mar, 2024

在本文中，我们提出了一种新的黑盒攻击策略，条件扩散模型攻击 (CDMA)，用于在受到查询限制的情况下提高生成对抗性样本的查询效率。CDMA 通过直接条件变换生成合格的对抗性样本，可以显著减少所需查询的数量。CDMA 通过采用条件去噪扩散概率模型作为转换器来学习从原始样本到对抗性样本的转换，以确保噪声扰动在各种防御策略下的平稳发展。在三个基准数据集上与九种最新的黑盒攻击方法进行比较后，我们展示了 CDMA 的有效性和高效性。平均而言，CDMA 可以将查询次数减少到几次；在大多数情况下，查询次数只有一次。我们还展示了 CDMA 在所有数据集上的非定向攻击成功率均达到 99% 以上，以及在 CIFAR-10 上的定向攻击，扰动预算为 ε = 16。

Oct, 2023

本文提出了在标签黑盒情况下使用条件扩散模型的新型 MIA 方法，可以在不需要额外优化的情况下恢复目标的精确样本，并将 Learned Perceptual Image Patch Similarity 作为评估度量之一进行系统定量和定性评估，实验证明，该方法可以在标签黑盒情况下生成与目标相似且准确的数据，并且优于先前方法的生成器

Jul, 2023

本文提出了一种无需实际数据就能够获取对抗黑盒攻击的替代模型的数据自由替代训练方法 (DaST)， 该方法利用一种特别设计的生成式对抗网络（GAN）来训练替代模型，实验表明，DaST 产生的替代模型可以取得竞争性的性能，并且是第一个无需任何真实数据训练对抗攻击替代模型的方法。

Mar, 2020

该论文提出了一个新的基于扩散模型的分类导向框架 DreamDA，通过考虑训练图像中的原始数据作为种子并扰动其反扩散过程，DreamDA 生成符合原始数据分布的多样样本，并引入自训练范式生成伪标签和使用合成数据训练分类器，在四个任务和五个数据集上进行的广泛实验证明了 DreamDA 在合成高质量多样的图像并生成准确标签方面的有效性。

Mar, 2024

通过生成器人工策划的查询，对于第一次扩展到用于预测物体检测中的边界框坐标的回归问题的黑盒子攻击，提出了一个无数据模型提取技术，发现定义损失函数和使用新型生成器设置是提取目标模型的关键。所提出的模型提取方法通过合理的查询取得了显著的结果，该物体检测漏洞的发现将有助于未来保护这类模型的前景。

Aug, 2023

本文提出了一种动态替换训练攻击方法，通过动态门进行自适应生成最佳替代模型结构，并引入基于任务的图形结构信息学习约束来提高生成的训练数据的质量，并促进替代模型学习来自目标模型多个输出的结构关系。经过广泛的实验证明，所提出的攻击方法可以在几个数据集上取得比现有方法更好的性能。

Apr, 2022