标题：计算所程学旗团队提出随机剪枝攻击策略，提升对抗样本的通用性

随着深度学习在计算机视觉领域的广泛应用，其安全性问题也日益凸显。对抗样本攻击通过在图像中加入微小扰动，可导致模型误判，例如将“限速标志”识别为“停止标志”。这种脆弱性对自动驾驶、智能安防等关键场景构成严重威胁。其中，迁移攻击尤为危险，它无需访问目标模型信息，仅通过代理模型生成对抗样本即可攻击未知模型。

针对现有迁移攻击方法对抗样本泛化能力不足的问题，中国科学院计算技术研究所程学旗团队提出了一种新方法——RaPA（随机参数剪枝攻击）。该方法通过在攻击过程中随机屏蔽模型的部分参数，生成多样化的模型变体，使对抗样本适应更多模型结构，从而显著提升其跨模型攻击能力。实验表明，RaPA在多种任务中表现优异。例如，在卷积神经网络攻击Transformer模型的场景中，RaPA将平均攻击成功率从33%提升至45%；在防御机制存在的情况下，其攻击成功率仍高达88%，远超其他方法。此外，RaPA在计算资源增加时性能提升更为显著，进一步增强了攻击效果。

研究团队还验证了RaPA在目标迁移攻击中的有效性。实验使用ImageNet兼容数据集和多种模型（如VGG16、ResNet、ViT等）进行测试，结果表明RaPA生成的对抗样本具有更强的通用性和迁移能力。与现有方法相比，RaPA不仅提升了跨架构攻击的成功率，还能与多种技术结合使用，进一步增强攻击性能。

RaPA背后的研究团队由程学旗、陈薇和朱胜宇等专家组成，他们在机器学习理论与人工智能安全领域深耕多年，致力于提升深度学习模型的鲁棒性和可信性。这一研究成果为理解模型脆弱性提供了新视角，同时也为开发更安全的AI系统提供了重要参考。

论文地址：https://arxiv.org/pdf/2504.18594