本文提出了 AdvGAN，一种使用生成对抗网络产生高感知质量的对抗样本的方法，可以更高效地生成对抗性的扰动用于敌对训练，同时在半白盒和黑盒攻击设置下，AdvGAN 都能在 MNIST 黑盒攻击竞赛中取得 92.76％的攻击成功率。

Jan, 2018

本文研究了机器学习系统 API 接口的安全性，介绍了探索性攻击和生成对抗网络等技术，并提出了一种具有实际意义的方法，通过生成合成数据扩展样本数据来提高模型性能，从而使敌对机器学习更加实用。

Jan, 2019

本文探究了 DNN 的黑盒攻击方案，使用现有的白盒攻击方法产生的采样样本进行训练替代模型，并提出主动学习策略和多样性准则以优化其表现，实验证明该方法可以将查询数量减少超过 90% 并保持黑盒攻击成功率。

Sep, 2018

深度神经网络被广泛用于各种下游任务，尤其是自动驾驶等安全关键场景，但深度网络常常受到对抗样本的威胁。对抗攻击可以分为白盒攻击和黑盒攻击，前者攻击者知道模型的参数和梯度，后者攻击者只能获取模型的输入和输出。攻击者的目的可以分为有目标攻击和非有目标攻击，黑盒设置是我们实践中会遇到的情况。

Aug, 2023

该研究介绍了一种利用黑盒攻击实现远程控制机器学习模型的方法，该攻击方式不需要了解模型内部或训练数据。研究表明该黑盒攻击策略可适用于许多机器学习技术，并且能够规避之前发现的防御策略。

Feb, 2016

本文提出了一种离散替代方法来解决黑匣子攻击的问题，该方法可以在不需要估计导数的情况下有效地攻击神经网络，降低了之前所提出方法所需的查询次数。

May, 2019

使用贝叶斯深度学习技术，以神经网络权重的后验分布进行抽样建立一个 surrogate，可以进一步提高黑盒攻击的可转移性，本文探究了提高攻击可转移性的训练方法， 将我们方法的表现与几种已有方法进行了比较，能够在 ImageNet 上获得 94% 的准确率。

Nov, 2020

本文提出一种黑盒对抗攻击算法，通过在输入的小区域内查找概率密度分布，不需要访问 DNN 的内部层或权重，实现了成功攻击不同神经网络的目标。此方法表现出色，可用于测试防御技术。结果表明，对抗训练仍然是最佳的防御技术之一。

May, 2019

该论文提出了一种基于生成对抗网络 (GAN) 框架下的新防御机制来对抗黑盒攻击，在经验上表现良好并能与利用梯度下降的集成对抗训练和对抗训练等最先进的方法媲美。

May, 2019

本文提出了一种新的替代训练视角，着重于设计在知识窃取过程中使用的数据分布，提出了多样化的数据生成模块来综合宽泛的分布的大规模数据，并引入对接近决策边界的数据进行对抗替换训练策略，两个模块的结合可以进一步提高替代模型和目标模型的一致性，大大提高了对抗攻击的有效性。

Apr, 2021