将对抗训练应用于ImageNet，并提出了如何将对抗训练成功扩展到大型模型和数据集的建议，发现对抗训练能增加对单步攻击方法的鲁棒性，单步攻击方法比多步攻击方法更难以传递，使其成为发动黑盒攻击的最佳选择。研究还揭示了“标签泄漏”效应，因为对抗样本构建过程使用真实标签，模型可以学习利用构建过程的规律，使经过对抗训练的模型在对抗示例上表现比正常示例更好。

Nov, 2016

本篇研究探索在变分自编码器（VAE）和VAE-GAN等深度生成模型中生成对抗性样本的方法，并提出了三种攻击方式来测试针对MNIST、SVHN和CelebA数据集训练的网络，分别利用基于分类的对手，直接利用VAE的损失函数生成重构图像，以及直接优化源和目标潜在表示之间的差异。

Feb, 2017

本文提出了一种新的方法，利用自然进化策略在黑盒攻击下生成可靠的对抗样本，并通过新的算法在部分信息下进行有针对性的攻击，无需使用梯度，可以使用少量的请求操作，成功地对商业部署的机器学习系统进行了第一次有针对性的攻击。

Dec, 2017

本文提出了AdvGAN，一种使用生成对抗网络产生高感知质量的对抗样本的方法，可以更高效地生成对抗性的扰动用于敌对训练，同时在半白盒和黑盒攻击设置下，AdvGAN都能在MNIST黑盒攻击竞赛中取得92.76％的攻击成功率。

Jan, 2018

利用多样化的输入模式来生成对抗样本，实现更好的对抗样本传递性，评估该方法在不同防御方法下的对抗成功率，并在NIPS 2017对抗比赛中获得了73.0%的平均成功率，从而提高了对抗攻击的基准线。

Mar, 2018

本文提出了一种新的威胁模型，即无限制敌对样本。通过条件生成模型，利用辅助分类生成对抗网络（AC-GAN）对数据进行分类，搜索潜空间并生成可能是该类别的在传统敌对攻击中被误分类的图像，证明它们确实属于该类别，并表明无限制敌对样本可以绕过传统的敌对训练和认证的攻击防御方法。

May, 2018

本文对机器学习模型在视觉领域中面临的对抗性攻击和防御方法进行了广泛探讨，并讨论了不同攻击和防御方法的优点和缺点。旨在提供广泛的领域覆盖和机械进攻和防御机制的直观理解。

Nov, 2019

提出一种更通用的框架，该框架可以推断基于输入图像和目标标签的目标条件扰动，通过学习攻击目标与图像中的语义关系。在MNIST和CIFAR10数据集的广泛实验中，该方法实现了超越单目标攻击模型的优异性能，并以小扰动范数获得高愚弄率。

Jun, 2020

通过建立令牌频率统计与学习令牌嵌入之间的关系，我们构建了一种简单有效的无梯度方法，用于对代码模型生成最先进的对抗性示例。

Sep, 2020

利用自编码器潜在空间和主成分分析，本研究分析面部识别系统对抗性示例的脆弱性以及其对最新系统的规避和冒充攻击的潜在影响。尽管结果没有支持最初的假设，但为对抗性示例的生成带来了新的洞见，并开辟了该领域的新的研究方向。

Apr, 2024