2.1.1.2 PGD（Projected Gradient Descent）

文档摘要

2.1.1.2 PGD（Projected Gradient Descent） 2.1.1.2 PGD（Projected Gradient Descent）：如何避免“梯度爆炸”导致的攻击失效？在对抗样本生成的世界里，PGD（Projected Gradient Descent）被广泛视为“最强的一阶攻击方法”。它以FGSM为基础，通过多步小步长迭代，并在每一步后将扰动投影回允许的 $\ellp$ 范数球内（通常是 $\ell\infty$），从而构造出更强、更鲁棒的对抗样本。然而，在实际工程部署中，许多工程师会遭遇一个令人困惑的现象：明明代码逻辑正确，超参数也看似合理，但PGD攻击成功率却远低于预期，甚至完全失效。问题究竟出在哪里？是模型太强？还是数据预处理有误？