该研究介绍了一种通用的攻击算法，RP2，用于在不同的物理条件下产生强大的视觉对抗扰动，以及一种用于评估物理对抗性的两阶段评估方法，通过黑白贴纸形式的扰动对真实的红绿灯进行攻击，在实验室测试和场地测试结果分别达到 100% 和 84.8% 的目标分类器的误分率。

Jul, 2017

本文提出一种方法，在深度神经网络中增加一个小的 “检测器” 子网络，用于区分含有敌对扰动的假数据和不包含敌对扰动的真数据的二元分类任务，并证明其能够有效检测和对抗敌对扰动攻击。

Feb, 2017

本研究探讨了实时视频分类系统中对抗性干扰的可能性与必要条件，发现在考虑时序结构的情况下，利用生成对抗网络可以产生能够导致高达 80% 有针对性活动误分类的对抗样本，对其他活动几乎没有影响，并且同一扰动可以适用于视频剪辑中的每一帧。

Jul, 2018

研究了对深度学习模型在视差估计时的影响，发现微小的对抗扰动可以显著改变视差图，并对在不同架构、使用不同损失函数训练的模型也产生影响，通过对抗性数据增广来使用扰动使得训练的模型更加健壮且不影响整体准确性。

Sep, 2020

对于深度神经网络 (DNNs) 的安全性问题，本文重点关注于物理对抗攻击，总结了 150 篇现有的物理对抗攻击的论文，详细分析了物理对抗攻击的特征、媒介、方法及其效果，并探讨了当前的挑战和未来方向。

Sep, 2022

对物理深度学习算法模型的物理攻击，提出了 Disappearance Attack 和 Creation Attack 进行检测，结果表明存在风险，攻击模型具有可迁移性

Jul, 2018

研究表明，即使没有内部知识，对深度卷积神经网络进行黑盒攻击并制造对抗性样本是可行的，这暴露了深度神经网络的弱点，为设计安全的网络提供了检验。

Dec, 2016

本文提出了生成自然对抗样本的系统化方法，通过一些自然变化来模仿某种对象或信号，结果表明可以在图像分类模型和语音分类模型中成功生成对抗样本。

Nov, 2019

本文研究了对抗扰动现象，并推导了任何分类函数的鲁棒性的基本上界，以及证明了存在跨不同分类器传递的具有小风险的对抗扰动。研究显示了生成模型的关键属性，如平滑性和潜在空间的维度，并提供了信息量大的鲁棒性基线。

Feb, 2018

本研究使用三种方法检测机器学习分类器所遭受的对抗性扰动，其中最佳检测方法显示对抗性图像在 PCA 下的低排名主要成分上存在异常强调。

Aug, 2016