2.1.3 黑盒攻击技术

文档摘要

2.1.3 黑盒攻击技术 2.1.3 黑盒攻击技术：替代模型的蒸馏陷阱与梯度重建实战在对抗样本攻防的战场上，黑盒攻击如同一场“盲人摸象”——你无法窥见目标模型的内部结构，甚至连它是否使用了批归一化（BatchNorm）或Dropout都不得而知。然而，现实世界的API服务、商业模型、云端推理引擎却恰恰构成了这类“黑箱”。面对这种信息封锁，工程师们不得不另辟蹊径：既然看不到心脏，那就再造一个心脏。于是，“替代模型攻击”（Substitute Model Attack）应运而生。其核心思想朴素而有力：用一个可微分的本地模型去拟合目标黑盒的行为，再在这个代理模型上生成对抗样本，最后迁移到真实目标上。听起来像极了“克隆人战术”——但问题在于，克隆得不够像怎么办？