研究针对黑盒深度神经网络的后门检测问题，提出一种基于极值分析的方法（AEVA），该方法可在只有最终输出标签可访问时检测黑客攻击的后门。

Oct, 2021

本文介绍了一种基于模型终极预测标签的查询高效边界型黑盒攻击 (QEBA)，并在 ImageNet 和 CelebA 数据集上进行了广泛的实验。实验结果表明，与最先进的黑盒攻击相比，QEBA 能够使用更少的查询次数以更低的扰动量实现攻击，并在实际 API 上展示了攻击案例。

May, 2020

该论文提出一种基于进化算法的黑盒攻击方法，可以成功生成针对神经网络模型的对抗样本，并且具有鲁棒性和随机性，实验结果表明该算法的复杂度受到模型和数据集的影响，同时对抗样本在某种程度上能够复制神经网络学习到的样本特征。

Jan, 2019

在本文中，我们提出了一种新的黑盒攻击策略，条件扩散模型攻击 (CDMA)，用于在受到查询限制的情况下提高生成对抗性样本的查询效率。CDMA 通过直接条件变换生成合格的对抗性样本，可以显著减少所需查询的数量。CDMA 通过采用条件去噪扩散概率模型作为转换器来学习从原始样本到对抗性样本的转换，以确保噪声扰动在各种防御策略下的平稳发展。在三个基准数据集上与九种最新的黑盒攻击方法进行比较后，我们展示了 CDMA 的有效性和高效性。平均而言，CDMA 可以将查询次数减少到几次；在大多数情况下，查询次数只有一次。我们还展示了 CDMA 在所有数据集上的非定向攻击成功率均达到 99% 以上，以及在 CIFAR-10 上的定向攻击，扰动预算为 ε = 16。

Oct, 2023

我们提出了一种强鲁棒性的低频黑盒后门攻击 (LFBA)，通过最小干扰频率频谱的低频部分并同时在空间空间中保持感知相似性，将触发耦合在受害分类器之外并具有高攻击性、对图像转换防御的强鲁棒性和隐蔽性。

Feb, 2024

通过系统性攻击图像边界提出的一种不可察觉的对抗性攻击方法，有效攻击了六个 CNN 模型和 Vision Transformers，仅使用图像边界的 32% 作为输入，成功率达到 95.2%，峰值信噪比为 41.37 dB，借此可以更深入地理解对抗性样本，并给出了构造对抗性样本的不同视角。

Aug, 2023

本文探究了 DNN 的黑盒攻击方案，使用现有的白盒攻击方法产生的采样样本进行训练替代模型，并提出主动学习策略和多样性准则以优化其表现，实验证明该方法可以将查询数量减少超过 90% 并保持黑盒攻击成功率。

Sep, 2018

深度神经网络逐渐被用于在组合优化领域中进行算法选择，尤其是在避免设计和计算特征的输入表示方面。然而，深度卷积网络在对抗示例方面存在漏洞，而最近在装箱问题领域中显示出潜力的深度递归网络是否同样易受攻击尚不清楚。本研究使用进化算法在在线装箱基准数据集中找到实例的扰动，导致训练的深度递归网络进行误分类。进一步的分析揭示了一些训练实例的脆弱性以及影响因素，并通过生成大量新的误分类实例提供了更丰富的训练数据以创建更强大的模型。

Jun, 2024

该研究介绍了一种利用黑盒攻击实现远程控制机器学习模型的方法，该攻击方式不需要了解模型内部或训练数据。研究表明该黑盒攻击策略可适用于许多机器学习技术，并且能够规避之前发现的防御策略。

Feb, 2016

本文提出一种黑盒对抗攻击算法，通过在输入的小区域内查找概率密度分布，不需要访问 DNN 的内部层或权重，实现了成功攻击不同神经网络的目标。此方法表现出色，可用于测试防御技术。结果表明，对抗训练仍然是最佳的防御技术之一。

May, 2019