研究现状 对抗样本的迁移性是研究深度学习系统鲁棒性的重要课题。在真实世界中，攻击者往往无法访问目标模型的内部参数或训练集（黑盒情形）。攻击在一个 / 一类模 型上生成后能否在另一个未知模型上保持效力（即攻击迁移性），直接决定了攻击的实际威胁水平与防御的有效性。 本文第一作者 / 通讯作者赵正宇来自西安交通大学，共同第一作者张焓韡、李仞珏分别来自德国萨尔大学、中科工业人工智能研究院。其他合作者分别来自法国马 赛中央理工、法国 INRIA 国家信息与自动化研究所、德国 CISPA 亥姆霍兹信息安全中心、清华大学、武汉大学、西安交通大学。 对抗样本（adversarial examples）的迁移性（transferability）—— 在某个模型上生成的对抗样本能够同样误导其他未知模型 —— 被认为是威胁现实黑盒深度学习系 统安全的核心因素。尽管现有研究已提出复杂多样的迁移攻击方法，却仍缺乏系统且公平的方法对比分析：（1）针对攻击迁移性，未采用公平超参设置的同类攻 击对比分析；（2）针对攻击隐蔽性，缺乏多样指标。 为了解决上述问题，本文依据通用机器学习全周期阶段，将迁移攻击方法系统性划分为五大类，并首次针对 23 ...