近日，在全球人工智能領(lǐng)域最具影響力的頂級學(xué)術(shù)會議 NeurIPS（神經(jīng)信息處理系統(tǒng)大會）上， 清華大學(xué)和螞蟻數(shù)科聯(lián)合提出了一種名為 Dual-Flow 的新型對抗攻擊生成框架。

簡單來說，Dual-Flow 是一個(gè)能夠從海量圖像數(shù)據(jù)中學(xué)習(xí) “通用擾動規(guī)律” 的系統(tǒng)，它不依賴目標(biāo)模型結(jié)構(gòu)、不需要梯度，卻能對多種模型、多種類別發(fā)起黑盒攻擊。其核心思想是通過 “前向擾動建模 — 條件反向優(yōu)化” 的雙流結(jié)構(gòu)，實(shí)現(xiàn)對抗樣本的高可遷移性與高成功率，同時(shí)保持極低的視覺差異。

可以把它理解為一個(gè)“可控的對抗樣本生成器只需指定想攻擊的圖像類別（如狗類、人類），模型就能自動生成該類別下逼真且有效的攻擊圖像，為 AI 安全帶來了前所未有的挑戰(zhàn)。

• 論文標(biāo)題：Dual-Flow: Transferable Multi-Target, Instance-Agnostic Attacks via In-the-wild Cascading Flow Optimization
• 作者：Yixiao Chen, Shikun Sun, Jianshu Li, Ruoyu Li, Zhe Li, Junliang Xing
• 機(jī)構(gòu)：Tsinghua University, Ant Group
• 論文地址：https://openreview.net/pdf?id=zhCv5uZ8bh
• GitHub：https://github.com/Chyxx/Dual-Flow

研究背景與意義

隨著 AI 模型在圖像識別、自動駕駛、監(jiān)控系統(tǒng)等領(lǐng)域廣泛部署，“模型安全” 成為重要問題。尤其在黑盒環(huán)境下（攻擊者無法知道模型結(jié)構(gòu)和梯度），攻擊通常依賴遷移性：希望一個(gè)方法能同時(shí)迷惑多個(gè)模型或多個(gè)類別。

傳統(tǒng)方法存在兩大局限：

1. 實(shí)例專屬攻擊（instance-specific）：高成功率，但只能針對單張圖片，遷移性差。
2. 通用生成器攻擊（instance-agnostic）：遷移性有限，面對多目標(biāo)、多模型時(shí)成功率下降。

DualFlow 正是為了解決這些問題而提出的 —— 通過統(tǒng)一的生成優(yōu)化框架，實(shí)現(xiàn)多目標(biāo)、多模型、實(shí)例無關(guān)的高成功率攻擊。

? 核心創(chuàng)新點(diǎn)

前向 + 反向 Flow 結(jié)構(gòu)

DualFlow 并不在像素級別直接加噪聲，而是：

• 先把圖片映射到 flow /latent 空間，在這個(gè)空間做結(jié)構(gòu)化擾動
• 再通過 velocity function 反向映射到圖像空間，生成對抗樣本

相比傳統(tǒng) “像素?cái)_動”，這種方法能生成更自然、更隱蔽、結(jié)構(gòu)化的擾動，同時(shí)保持高遷移性。

多目標(biāo)、實(shí)例無關(guān)攻擊能力

DualFlow 的統(tǒng)一框架天然支持：

• 多目標(biāo)（multitarget）：一個(gè)生成器即可攻擊多個(gè)類別
• 多模型（multimodel）：可遷移到不同架構(gòu)的模型
• 實(shí)例無關(guān)（instanceagnostic）：無需針對特定圖像訓(xùn)練

這意味著，以往需要 “每個(gè)目標(biāo)單獨(dú)訓(xùn)練生成器” 的方法，現(xiàn)在只需一個(gè)生成器就能覆蓋多個(gè)類別和模型，顯著降低成本、提高實(shí)用性。

級聯(lián)分布偏移訓(xùn)練（Cascading Distribution Shift Training）

實(shí)驗(yàn)結(jié)果

在 ImageNet 驗(yàn)證集上的實(shí)驗(yàn)表明，DualFlow 在單目標(biāo)和多目標(biāo)攻擊中都展現(xiàn)了強(qiáng)大的遷移能力。

Table 3 進(jìn)一步驗(yàn)證了 DualFlow 在多目標(biāo)、多模型以及對抗訓(xùn)練模型上的遷移性能。結(jié)果顯示，即使面對經(jīng)過對抗訓(xùn)練的模型，DualFlow 依然保持較高成功率，體現(xiàn)了其在黑盒環(huán)境下的通用性和強(qiáng)大攻擊力。整體來看，這些實(shí)驗(yàn)充分證明了 DualFlow 在實(shí)現(xiàn)多目標(biāo)、多模型、實(shí)例無關(guān)攻擊上的優(yōu)勢，同時(shí)在保證視覺隱蔽性的前提下，提供了現(xiàn)實(shí)環(huán)境下的高遷移攻擊能力。

總結(jié)與貢獻(xiàn)

Dual-Flow 提出了一種全新的通用對抗樣本生成范式，通過前向與反向 Flow 的協(xié)同結(jié)構(gòu)以及級聯(lián)式分布偏移訓(xùn)練，實(shí)現(xiàn)了在多目標(biāo)、多模型場景下依舊穩(wěn)定有效的實(shí)例無關(guān)攻擊。相比傳統(tǒng)依賴像素級噪聲的擾動方式，Dual Flow 所生成的擾動更具結(jié)構(gòu)性、更難被察覺，同時(shí)一個(gè)生成器即可覆蓋多個(gè)類別與模型，無需為每個(gè)攻擊目標(biāo)單獨(dú)訓(xùn)練，大幅降低了使用成本。

實(shí)驗(yàn)結(jié)果表明，Dual-Flow 在黑盒條件下展現(xiàn)出極強(qiáng)的遷移性，例如在從 Inception-v3 遷移攻擊 ResNet-152 的實(shí)驗(yàn)中，攻擊成功率提升高達(dá) 34.58%。

該技術(shù)已經(jīng)應(yīng)用于螞蟻數(shù)科身份安全相關(guān)產(chǎn)品的能力優(yōu)化，集成了該對抗生成框架用于對抗樣本的生成和檢測，使得防御體系對對抗樣本有更好的魯棒性。