本文提出利用时间侧信道攻击来推断神经网络模型深度的黑盒神经网络提取攻击，使用知识蒸馏和强化学习，有效减少了搜索空间，可以构造出与目标模型测试精度接近的替代模型，且该方法可扩展，并与神经网络结构类型无关。

Dec, 2018

通过成员推理攻击作为审核工具，我们提出了一个综合的假设检验框架，不仅能够以一致的方式正式表达先前的工作，还可以设计新的成员推理攻击，使用参考模型来实现任意误报率的显著更高的功率（真正的阳性率），并解释为什么不同的攻击效果不同，并最小化攻击不确定性到数据点的存在或缺失的一个比特秘密。

Nov, 2021

本文提出了基于决策的成员推理攻击方法，证明了仅利用标签信息的模型也容易受到成员泄漏攻击，并且开发了两种决策攻击类型：转移攻击和边界攻击。最后，我们评估多种防御机制，并展示了我们提出的两种攻击方式可以绕过大部分防御。

Jul, 2020

通过利用边信道攻击以提取 logits，我们提出了一种架构无关的黑盒攻击方法用于生成具有欺骗性的对抗样本，以证明边信道攻击在攻击神经网络时的有效性。

Nov, 2023

该研究关注于机器学习模型中有关成员推断攻击的问题，并提出了一种新的会员推断技术 —— 抽样攻击，进一步研究了两种最近的攻击模型以及针对这些攻击的防御方法，最终发现在预测输出时的输出微扰技术是一种简单易行的隐私保护方法，对预测结果的影响较小。

Sep, 2020

本文研究机器学习与深度学习对隐私的威胁，提出了一种测量训练数据泄露的方法以及针对成员推断攻击的新型防御机制，并通过实验数据支持了研究的结论。

Jul, 2022

基于对对抗性图像分类模式的观察，我们提出一种用于盗取模型的方法，结合时间侧信道和对抗性图像分类，以指纹识别多个著名的卷积神经网络和 Vision Transformer 架构，该方法可在减少查询次数的同时保持高准确率。

Feb, 2024

本文研究机器学习中的安全和隐私领域，重点探究性会员推断攻击是否会受到对抗性的防御方法的影响，并通过实验验证证明对抗性的防御方法可以增加目标模型的风险。

May, 2019

本文提出基于黑盒目标模型的攻击方法，称为 L-Leaks 攻击，通过学习目标模型的对数几率并让暗模型更加与目标模型相似来构建一个针对目标的暗模型，进而实现预测目标样本成员身份的目的，实验证明攻击非常有效。

May, 2022

本文提出了针对机器学习服务的会员推理攻击的可能性，并放宽了先前攻击假设中的关键假设，说明这些攻击的适用性广泛且代价低廉，从而比先前认为的更具严重性；提出了对抗此类攻击的第一种有效机制，并保持模型的高效性。

Jun, 2018