在黑盒攻击中，敌对扰动的可迁移性为攻击提供了一种有效的捷径。本文实验和理论上证明相同数据集训练的神经网络，在每个类别的高样本密度区域（High-Sample-Density-Regions，HSDR）具有更一致的性能。在目标场景中，朝目标类别的 HSDR 添加扰动对于提高迁移性效果更好。此外，低损失的简单样本更有可能位于 HSDR，因此朝目标类别的这些简单样本添加扰动可以避免 HSDR 位置的密度估计。基于以上事实，我们验证了向目标类别的简单样本添加扰动可以提高现有攻击方法的目标敌对迁移性，提出了一种生成式目标攻击策略称为 Easy Sample Matching Attack（ESMA），它在目标攻击的成功率上具有更高的表现并且优于 SOTA 生成式方法。此外，与当前的 SOTA 相比，ESMA 只需 5% 的存储空间和更少的计算时间，因为 ESMA 使用单个模型攻击所有类别，而不是为每个类别分别创建模型。我们的代码可在此 URL 中获取。

Jun, 2024

基于空间隐形水印技术，提出了一种图像处理模型的水印框架，防止模型权益被侵犯。实验证明，该水印技术可抵抗不同网络结构和目标函数训练出的替代模型。

Feb, 2020

利用扩散模型为防止未授权模型分发而合成无限制对抗样本作为触发器集合，通过知识注入而非错误记忆来促进独特的水印行为，并通过优化受保护模型的知识传递属性，无需过于猛烈的决策边界扰动即可将水印行为传递给提取替代物，从而提高对于逃避对手和水印清除攻击的鲁棒性。

Apr, 2024

该研究提出了一种新的框架，将对抗训练与水印技术相结合，以增强鲁棒性，抵御逃避攻击，并在知识产权盗窃情况下提供可信的模型验证。

Dec, 2023

提出了一种将个人水印嵌入敌对实例生成中的新框架，以生成具有可见水印的图像，防止敌对模型模仿未授权图像，并在各种条件图像生成场景进行广泛实验，证明了敌对实例具有良好的传递性，从而提供了一种保护基于扩散模型的版权的简单而有效的方法。

Apr, 2024

本研究关注深度神经网络的水印方案的稳健性和可靠性，发现恶意对手即使在水印难以删除的情况下，仍然可以逃避合法所有者的验证，从而避免了模型被盗的可能性。

Sep, 2018

本篇研究提出了将图像水印技术和对抗样本算法结合在一起生成一种新的对抗扰动 ——Adv-watermark，并且使用一种新的优化算法 Basin Hopping Evolution (BHE) 生成黑盒攻击模式下的对抗性水印，该方法比其他攻击方法更为高效和鲁棒。

Aug, 2020

本文提出了一种新颖的水印去除攻击方法，能够有效和盲目地破坏水印模型对水印样本的记忆，实现了水印去除，并且提出了一种轻量级的微调策略，以提升模型性能和现有水印的鲁棒性。

Sep, 2020

提出了一种新的转移攻击方法，该攻击方法在无盒环境下对图像水印进行干扰，使得对手训练的多个替代水印模型无法检测到水印，同时也能规避目标水印模型检测。理论和实验证明了基于水印的 AI 生成图像检测器不具备抵抗干扰攻击的鲁棒性，即使攻击者无法访问水印模型或检测 API。

Mar, 2024

提出了一种新的数字水印方法，基于深度学习的 HiDDeN 架构，并添加了与几何攻击鲁棒性相关的新噪声层，证明该方法在几何鲁棒性方面胜过现有的技术，可用于保护消费者设备上查看的图像。

Feb, 2024