本文提出了一种翻译不变攻击方法，该方法利用一个翻译图像集合上的扰动以生成更易于转移的对抗示例，并表明该方法通常适用于任何梯度攻击方法。作者在 ImageNet 数据集上广泛实验验证了该方法的有效性，并证明该攻击技术的存在不安全性。

Apr, 2019

深度神经网络的关键问题之一是对抗性攻击和转移性，考虑到安全性和未来的发展，需要加强对抗性漏洞的防御。

Oct, 2023

本文首次对大规模数据集和大型模型进行了对抗样本的可迁移性的研究，同时也是首次研究了设计有目标的对抗样本在其目标标签之间的可转移性。通过新颖的集成方法，本文发现大量有目标的对抗样本可以成功地与其目标标签一起转移，并且这些使用集成方法生成的对抗样本可以成功地攻击黑匣子图像分类系统 Clarifai.com。

Nov, 2016

本文通过大规模系统的实证研究，探究了云端机器学习服务平台的漏洞和其普遍存在的在深度神经网络中的 “对抗攻击” 问题，发现先前的假设和结论在真实世界环境下不再一致，并指出了对未来研究方向的启示。

Apr, 2022

本研究首次证明存在领域不变的对抗性攻击，提出了一个用于在不同领域中高度转移的攻击框架，核心是一个可生成网络，具有相对论监督信号，能够实现领域不变的扰动。该方法在白盒和黑盒情况下均创新了欺骗率的最佳性能，并且尽管它是一个无实例特定扰动的函数，但优于传统上更强的实例特定攻击方法。

May, 2019

使用贝叶斯深度学习技术，以神经网络权重的后验分布进行抽样建立一个 surrogate，可以进一步提高黑盒攻击的可转移性，本文探究了提高攻击可转移性的训练方法， 将我们方法的表现与几种已有方法进行了比较，能够在 ImageNet 上获得 94% 的准确率。

Nov, 2020

本文系统研究了影响对抗样本传递性的两类因素，包括网络结构、测试精度等模型特定因素和构建对抗样本的损失函数的局部光滑性。基于这些理解，提出了一种简单而有效的策略来增强传递性，称为方差降低攻击，因为它利用方差降低梯度来生成对抗样本，实验结果表明其有效性。

Feb, 2018

该论文探讨了深度神经网络（DNNs）的对抗性脆弱性，并建立了一个基于转移的攻击基准（TA-Bench）来评估和比较 30 多种方法在 ImageNet 上的 25 个受害模型，从而提供了这些方法的有效性新见解和未来评估的指导。

Nov, 2023

提出一种基于永续度量的方法，通过创造高度扭曲网络特征空间的攻击来达到高度通用的敌对样本，旨在打破相对有限的目前攻击的限制，并可将其通过多个网络扩展到多个任务。

Nov, 2018

本研究首次详细审查了对抗性攻击的可转移性方面，系统地分类和评估了各种用于增强对抗性攻击可转移性的方法学。同时，本文引入了一个基准框架 TAA-Bench，集成了十种领先的对抗性攻击可转移性方法，为跨不同模型结构的比较分析提供了一种标准化和系统化的平台。通过全面审查，我们描述了每种方法的有效性和限制，并揭示了它们的操作原理和实际效用，旨在成为该领域学者和实践者的基本资源，为对抗性可转移性的复杂领域绘制地图并为未来的探索奠定基础。

Feb, 2024