对抗训练是学习鲁棒分类器的一种常见技术，先前的研究表明凸代理损失在对抗情景下不具备统计一致性，即对抗代理风险的最小化序列不一定能最小化对抗分类误差。我们将对抗代理损失的一致性与对抗分类风险最小化者的属性联系起来，即所谓的 “对抗贝叶斯分类器”。具体而言，根据合理的分布假设，对抗学习的凸损失仅在对抗贝叶斯分类器满足某种独特性的情况下具备统计一致性。

Apr, 2024

在对数据分类问题的不同类型的对抗扰动的影响方面，引入对抗性能力作为一个重要参数，以精确性和稳健性之间的权衡关系。本研究考虑对对抗性扰动分类问题的一般框架，在大数据或整体数据的情况下进行研究。在这样的情况下，我们证明了当对抗性强度趋近于零时，最优分类器在 Hausdorff 距离上收敛于贝叶斯分类器。这一结果显著增强了先前通常集中在 $L^1$ 型收敛上的研究成果。主要论证依赖于直接的几何比较，并受到几何测度理论技术的启发。

Jun, 2024

研究了均匀分布在 {0,1}^n 上的实例中的敌对扰动，提出了不同于通常定义的错误区域的保真度定义，并根据该定义研究了任何分类问题的任何分类器的风险和稳健性的内在限制。使用布尔超立方体的等周不等式和中心极限定理，对单个和大规模的问题提出了与数学相关的结果。

Oct, 2018

通过构建现实图像数据集，我们从贝叶斯最优分类器的角度探讨了对抗样本。实验结果表明，即使在这些最优分类器是强健的情况下，使用相同数据集训练的卷积神经网络 (CNNs) 仍然会学习到一个脆弱的分类器，而 RBF SVMs 则一直学习到一个强壮的分类器。

Feb, 2020

本文研究了在对抗训练中通过二元高斯混合分类问题的分析，得到最优贝叶斯分类器和最优对抗分类器之间的区别，并研究了不同分布参数（类别中心之间的距离、类别比例和协方差矩阵）对精度差异的影响，提出在一定条件下，平衡类别可以实现对抗分类器的自然误差和精度差距的局部最优化，并证明在最坏情况下精度差距为 Theta（epsilon^2），这在理论上表明了实现近乎完美精度的强健分类器的可能性，这在实际算法中很少体现。

Jul, 2021

本文研究了三种拟建立鲁棒分类器以对抗对数据的恶意扰动的多分类分类问题模型，证明了每个模型中存在 Borel 可测的鲁棒分类器，并提供了对抗训练问题的统一视角，扩展了与作者在先前工作中启动的最优传输方面的关联，并发展了在多类设置中进行对抗训练和总变差规则化之间的新关联。

Apr, 2023

本论文分析了深层网络的一个有趣现象，即它们对于对抗性扰动的不稳定性，并提出了一个分析分类器鲁棒性的理论框架，并且为对抗性扰动的鲁棒性建立了一个上限。具体而言，我们建立了分类器对于对抗性扰动的鲁棒性的一个通用上限并用一些线性和二次分类器的例子说明了所获得的上限。我们的结果表明，在涉及小区分能力的任务中，所有选定的分类器将不会对于对抗性扰动产生鲁棒性，即使达到了较高的准确率。

Feb, 2015

本文提出了一种基于视觉损失的对敌对扰动的简单正则化方法，用于解释图像分类器中的图像分类。这种半稀疏的扰动可以突出对象和感兴趣区域，使其与背景明显不同。通过在多个可解释性基准测试中进行评估，包括局部化、插入删除和指向游戏，证明了感知正则化反事实是图像分类器的有效解释。

Dec, 2019

高维度分类器为何易受到 “对抗性” 扰动？本文中将阐述这种现象可能不是由于信息论的限制，而是由于计算约束所引起的。同时探讨了分类任务的一种特殊情况，即在高维空间中对于对抗扰动较大的学习是容易的，但是具有计算难度的。这种例子带来了对于经典学习和鲁棒性学习之间的计算复杂度的差异的新见解，并建议这种现象可能是学习算法计算能力所限制的必然副产品。

May, 2018

我们在最近的工作中（Bubeck，Price，Razenshteyn, arXiv:1805.10204）指出，机器学习中的对抗性例子可能是由于问题固有的计算难度造成的。更确切地说，我们构建了一个二元分类任务，其中（i）存在强大的鲁棒分类器；但在（ii）统计查询模型中无法使用有效算法获得任何非平凡的准确性。在本文中，我们显着加强了（i）和（ii）：我们现在构建了一个任务，该任务允许（i'）最大限度地鲁棒的分类器（即它可以容忍与示例本身大小相当的扰动）；此外，我们证明了在（ii'）标准加密假设下学习此任务的计算困难性。

Nov, 2018