文章总结: 本文系统梳理对抗样本与模型鲁棒性领域的核心理论与技术体系。从形式化定义出发,阐述线性假说、非鲁棒特征假说和高维几何假说三种脆弱性解释,按白盒灰盒黑盒分类介绍FGSM、PGD、C&W等攻击方法,并延伸至LLM对抗攻击。防御层面涵盖对抗训练与输入净化等技术,同时讨论评估认证体系与工具基准。建议AI安全从业者重点关注大模型及多模态场景下的对抗安全,结合业务需求部署鲁棒性检测防御机制。 综合评分: 87 文章分类: AI安全,漏洞分析
对抗样本与模型鲁棒性
原创
pandazhengzheng pandazhengzheng
安全分析与研究
2026年7月4日 20:00 广东
在小说阅读器读本章
去阅读
本文档系统梳理对抗样本(Adversarial Examples)与模型鲁棒性(Model Robustness)领域的核心理论、攻击方法、防御技术、评估体系与前沿研究动态,适用于AI安全研究人员、模型安全工程师及深度学习从业者参考。
目录
- 基础概念与理论背景
- 对抗攻击方法体系
- 针对LLM的对抗攻击
- 鲁棒性防御技术
- 鲁棒性评估与认证
- 前沿研究议题
- 工具、数据集与基准
- 参考资料
一、基础概念与理论背景
1.1 对抗样本的定义
对抗样本(Adversarial Example) 是指经过精心设计的微小扰动输入,能够使机器学习模型产生错误预测,而这种扰动对人类而言几乎不可感知。
形式化定义:
给定:
- 输入样本 x(如一张猫的图片)
- 原始标签 y("猫")
- 分类模型 f:X → Y
对抗样本 x* 满足:
f(x*) ≠ y (模型预测错误)
||x* - x||_p ≤ ε (扰动在感知范围内)
其中 ||·||_p 通常使用:
ℓ∞ 范数:限制每个像素的最大变化量(最常用)
ℓ₂ 范数:限制扰动向量的欧氏长度
ℓ₀ 范数:限制被修改的像素数量
ℓ₁ 范数:限制所有像素变化量的绝对值之和
1.2 对抗样本的发现历史
关键里程碑:
2013 Szegedy et al. 首次发现深度神经网络对抗脆弱性
├── 对 ImageNet 上的神经网络发现对抗扰动
└── 提出"有趣特性":高置信错误分类
2014 Goodfellow et al. 提出 FGSM
├── 提供对抗样本的线性解释
├── 奠定基于梯度攻击的基础
└── 对抗训练首次被提出
2016 Carlini & Wagner 提出 C&W 攻击
├── 突破了 Distillation 防御
└── 成为评估防御强度的标准工具
2017 Madry et al. 提出 PGD 攻击和 PGD 对抗训练
└── 目前最重要的鲁棒性理论框架之一
2018 对抗样本的物理世界攻击(Eykholt et al.)
└── 在真实停止标志上贴贴纸欺骗自动驾驶系统
2019 AdvGAN、Patch 攻击成熟
2020 对抗攻击扩展至 NLP 领域
2022 对抗攻击针对扩散模型、多模态模型
2023 针对 LLM 的 GCG 自动对抗后缀
2024 多模态对抗攻击、Agent 对抗安全
1.3 为什么模型对对抗样本脆弱
三种主流理论解释:
理论一:线性假说(Goodfellow et al., 2014)
核心观点:
神经网络中的线性操作(矩阵乘法)在高维空间中
对微小扰动具有放大效应。
数学说明:
设输入维度为 n,权重向量 w,扰动 η(||η||∞ ≤ ε)
线性激活的扰动效果:w^T η ≤ ε·||w||₁
当 n 很大时(如 ImageNet 图片 224×224×3 ≈ 150,528 维):
即使每个维度只有 ε=0.01 的扰动
累积效应可达 ε·||w||₁ = 0.01 × 150,000 × 0.01 ≈ 15
结论:高维线性操作使得微小扰动产生显著影响
理论二:非鲁棒特征假说(Ilyas et al., 2019)
核心观点:
训练数据中存在"非鲁棒但具预测性的特征"
模型在最大化训练准确率的过程中也学习了这些脆弱特征。
实验证据:
- 构造仅包含"非鲁棒特征"的新训练集
- 在新训练集上训练的模型能在标准测试集上达到高准确率
- 但同时在对抗样本上仍然失败
含义:
对抗脆弱性不是 Bug,而是模型从数据中合理学习的结果
真正的鲁棒性需要人类可理解特征的显式引导
理论三:高维几何假说
核心观点:
在高维空间中,数据流形附近存在大量"对抗区域"
这些区域与正确分类区域的边界极近但密集。
几何直觉:
├── 数据点附近的决策边界比直觉上更近
├── 高维球的表面积大部分集中在赤道附近
│ → 随机游走很容易到达决策边界另一侧
└── 神经网络的非线性决策边界高度扭曲
→ 某些方向上边界距离极小
1.4 攻击场景分类
攻击目标分类:
├── 有目标攻击(Targeted Attack)
│ 目标:使模型预测为特定错误类别 t
│ 形式:min ||δ|| s.t. f(x+δ) = t
│
└── 无目标攻击(Untargeted Attack)
目标:使模型预测为任意错误类别
形式:min ||δ|| s.t. f(x+δ) ≠ y
攻击者知识分类:
├── 白盒攻击(White-box)
│ 攻击者可访问:模型架构、权重、梯度
│ 代表方法:FGSM、PGD、C&W
│
├── 灰盒攻击(Gray-box)
│ 攻击者可访问:模型架构,但无法获取当前权重
│ 代表方法:Transfer Attack
│
└── 黑盒攻击(Black-box)
攻击者只能:查询模型获取预测结果(和/或置信度)
分类:
├── 基于分数的黑盒:可获取置信度分数
│ 代表方法:ZOO、NES
└── 基于决策的黑盒:只能获取最终标签
代表方法:Boundary Attack、HopSkipJump
攻击场景分类(按部署环境):
├── 数字空间攻击:直接操控输入像素/token
└── 物理世界攻击:通过打印、投影等方式实施
代表场景:自动驾驶、人脸识别、OCR
二、对抗攻击方法体系
2.1 基于梯度的攻击(白盒)
2.1.1 FGSM(Fast Gradient Sign Method)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全分析与研究 pandazhengzheng pandazhengzheng《对抗样本与模型鲁棒性》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论