本文提出了一种利用 GAN-based framework 来绕过 hard label，仅仅通过访问 top-1 prediction 的方式，以及不访问模型梯度和训练数据的情况下偷取机器学习模型的方法，同时通过利用公开数据集来降低查询成本，并在 100 类数据集上展示了模型窃取的规模性。

Apr, 2022

MLaaS 服务的 “模型窃取” 攻击威胁了提供商的知识产权，本文通过对该领域进行全面系统化的分类和比较，探索了相应的防御技术，并提出了攻击和防御策略的分类法和指南并分析哪些防御策略被当前攻击策略削弱

Jun, 2022

使用主动学习和大规模公共数据集的模型提取框架，可以通过黑盒访问从图像和文本领域的各种数据集中训练出的深度分类器，其中仅使用其 30%（30,000 个样本）的数据集。

May, 2019

利用无监督域适应和多受害者集成的方法，攻击者可能会在 NLP API 中超越原始黑盒模型，这是对模型提取以前的理解的超越，验证结果表明模仿者可以在转移领域中成功地胜过原始的黑盒模型，这将影响 API 提供者的防御或发布策略。

Aug, 2021

本文针对物联网系统中高噪音率或高不确定性环境下的数据中毒攻击，提出了两种基于深度学习算法的防御方法（LSD 和 CSD），通过随机森林特征选择和不同特征类型的比较，取得了 19% 的准确率提升，实现对攻击的恢复和修复。

Aug, 2019

通过基于样本重构的概念，介绍了一种新颖的防御机制 SAME，能够解决深度学习模型在 MLaaS 环境下的模型提取攻击问题，并且相较于现有解决方案具有更强的防御效果。

Dec, 2023

本文提出了一种名为 MAZE 的新型数据无关模型窃取攻击方法，采用零阶梯度估计和生成模型，无需任何数据，能够有效地窃取目标模型。经过四个数据集的评估，MAZE 在规范化克隆准确度方面表现良好，并在克隆准确度、攻击查询和寻求与目标分布更相近的数据等方面进行了改进。

May, 2020

最近的研究表明，GNN 对于模型盗取攻击是脆弱的，而这种攻击是通过查询许可来复制目标模型的阴险行为。然而，这些研究主要关注节点分类任务，忽视了在图分类任务领域所带来的潜在威胁。此外，它们的可行性令人质疑，因为涉及了大量的数据需求和广泛的模型知识。为此，我们倡导遵循严格的设置，通过有限的真实数据和硬标签意识来生成合成数据，从而便于盗取目标模型。具体地，我们遵循重要的数据生成原则，引入了三种模型盗取攻击方法，以适应不同的实际场景：MSA-AU 受主动学习的启发，强调不确定性以增强生成样本的查询价值；MSA-AD 基于 Mixup 增强策略引入多样性，以减轻 MSA-AU 生成的过于相似样本所导致的查询效率问题；MSA-AUD 结合了上述两种策略，无缝地整合了生成样本的真实性、不确定性和多样性。最后，广泛的实验证明了所提方法在隐藏性、查询效率和盗取性能方面的优越性。

Dec, 2023

云端托管的量子机器学习（QML）模型面临许多漏洞，其中最重要的是模型窃取攻击。本研究评估了这些攻击在量子计算领域的效果，利用多个 QML 模型体系结构在不同数据集上进行了全面的实验。实验结果显示，使用 Top-1 和 Top-k（k: num_classes）标签进行训练的模型窃取攻击可以产生克隆模型，其克隆测试准确率分别达到原模型的 0.9 倍和 0.99 倍。为了防御这些攻击，我们利用当前嘈杂硬件的独特属性扰乱了受害模型的输出，阻碍了攻击者的训练过程。具体来说，我们提出了两种方法：1）硬件变化诱发的扰动（HVIP）和 2）硬件和模型结构变化诱发的扰动（HAVIP）。虽然噪声和架构的可变性可以提供约 16% 的输出混淆，但我们的综合分析表明，在噪声条件下克隆的模型往往是弹性的，由于这种混淆几乎不会导致性能下降。尽管我们的防御技术取得了有限的成功，但这种结果导致了一项重要发现：在噪声硬件上训练的 QML 模型对扰动或混淆性的防御或攻击具有天然的抵抗力。

Feb, 2024

本文提出一种防御简单模型窃取攻击的方法，通过在提供的信息中添加噪音以限制敌对方的信息获取，使窃取模型的准确性降低至少 20% 或需要多达 64 倍的查询次数，并在此过程中保持原模型准确性。

May, 2018