深度神经网络容易受到各种类型的对抗性样本的攻击，并且现有的对抗性修补方法通常生成的修补具有无意义的噪声或图案，本研究旨在生成真实视觉效果的对抗性修补以欺骗深度神经网络。通过在真实图像的邻域内限制修补的位置，优化位置的不相关性，并采用总变差损失和伽马变换以保留信息，生成的对抗性修补具有卓越的攻击性能，并且可以伪装成物理世界中的涂鸦或标志来欺骗深度模型，给深度神经网络应用带来重大威胁。

Dec, 2023

利用 Vision Transformer 结合 Derandomized Smoothing 进行逐步平滑的图像建模任务来训练并提高证明补丁防御机制的可证准确性，同时重构了原始的 ViT 的全局自注意结构以适用于在实际世界中的高效推理和部署。在 ImageNet 数据集上，在 2% 区域补丁攻击下，本文方法达到 41.70% 的证明准确度，比之前最佳方法高出近 1 倍（26.00%）。同时，本方法达到了 78.58% 的干净准确度，接近正常 ResNet-101 的准确度，并在 CIFAR-10 和 ImageNet 上实现最先进的干净和证明准确度。

Mar, 2022

我们分析了攻击技术并提出了一种强大的防御方法，通过利用对象的形状、纹理和位置，成功降低了 20% 以上的模型置信度。利用修复预处理技术，有效地恢复了原始的置信水平，展示了强大防御在减轻这些威胁中的重要性。我们的修复防御方法在仿真像素化的基于补丁的物理对抗攻击中显著提高了模型的韧性，实现了高精度和可靠的定位，尽管受到了对抗性攻击。这项工作推动了对抗挑战中对象检测和分类网络的韧性和可靠性的发展，并为关键应用提供了强大的基础。

Mar, 2024

近期，在深度模型的推断计算方面取得了很多进展，这些方法可以减少深度模型的计算需求和功耗。我们展示了这些模型容易受到普适性对抗贴片攻击的影响，攻击者通过优化一个贴片，将其粘贴到任意图像上可以增加模型的计算量和功耗。我们运行实验使用了三种不同的高效视觉转换器方法，显示在某些情况下，攻击者只需将一个只占图像面积的 8% 的贴片粘贴上即可将计算量增加到最大限度。同时我们还展示了标准对抗性训练防御方法可以减少攻击的成功率。我们相信为降低深度模型的功耗，未来需要采用自适应高效的方法，希望我们的论文可以鼓励研究人员研究这些方法的强韧性，并开发更好的防御方法来对抗这种攻击。

Oct, 2023

本文介绍了对抗补丁攻击的认证和经验性防御措施，其中首次提出了认证防御措施，并实验了不同补丁形状的测试，获得了出人意料的良好的鲁棒性转移。

Mar, 2020

在实际场景中机器学习模型受到对抗性攻击的威胁时，对抗性贴纸充分展示了这种威胁的具体体现。多视角系统具有在复杂环境中结合多视角数据，从而实现可靠检测结果的能力，然而多视角系统对对抗性贴纸的脆弱性尚未得到充分研究。本文通过提出两种新的攻击方法来挑战之前对多视角系统的观测结果，并取得了令人满意的攻击成功率。

Nov, 2023

本文介绍了一种基于图像残差的对抗样本检测算法，特别设计用于防范基于补丁的攻击。使用小波域算法对图像进行去噪并用判别器区分干净和对抗样本的差值被作为图像残差，我们证明了被获取的残差可以作为对抗攻击的数字指纹。该检测方法对之前未见的攻击方法具有一定的普适性，可以减小自适应攻击者的攻击成功率，但需要更大的计算量。

Feb, 2020

提出了一种新颖的方法，名为 MVPatch，旨在提高对抗性贴片的转移性和隐蔽性，避免易于识别和传输性差的问题。该方法通过使用集成攻击损失函数来降低多个对象检测器的对象置信度分数，从而增强对抗性贴片的转移性，同时使用 CSS 损失函数实现轻量级的视觉相似度测量算法，使得生成的对抗性贴片具有更加自然和隐蔽的外观。广泛的实验表明，与类似算法相比，所提出的 MVPatch 算法在数字和实际领域中都实现了更强的攻击转移性，并展现出更加自然的外观。这些发现强调了所提出的 MVPatch 攻击算法的显著隐蔽性和转移性。

Dec, 2023

我们提出了一种防御机制，利用聚类技术 DBSCAN 来分离异常图像片段，并通过三阶段流程对敌对噪声进行定位和减轻，进而中和其效果。该防御机制在多个模型和数据集上验证，证明其在对抗性贴片攻击中的有效性，显著提高了准确性。

Feb, 2024

该研究评估并提出改进方法，以提高当受到数字、模拟和实际的对抗性补丁攻击时，对语义分割模型的稳健性。研究结果表明，尽管对抗效果在数字和真实攻击中可见，但其影响通常局限于图像周围的补丁区域，这就打开了进一步探讨实时语义分割模型的空间鲁棒性的问题。

Jan, 2022