论文地址:https://openreview.net/forum?id=W9G_ImpHlQd 项目地址:https://github.com/damon-demon/Black-Box-Defense Trustworthy ML Initiative:https://www.trustworthyml.org/home
zoom 线上地址:https://us02web.zoom.us/j/83664690773?pwd=WlJOQzJDY0lHVm0rVjNsaEJWazhDdz09
![](https://image.jiqizhixin.com/uploads/editor/cd81b2dd-9196-4ba3-b56f-5a4aa0f8a91f/640.png)
![](https://image.jiqizhixin.com/uploads/editor/1cbfc048-2dff-4e07-b8c2-b98310685604/640.png)
![](https://image.jiqizhixin.com/uploads/editor/13cfa848-1771-4bcd-932a-e00e77a9e43f/640.png)
![](https://image.jiqizhixin.com/uploads/editor/b5951459-bfa2-40b7-8a3a-9a326729faff/640.png)
![](https://image.jiqizhixin.com/uploads/editor/db25fd77-4895-4761-aa99-a7e73137479c/640.png)
首先,在使用不同的 q 值的情况下,ZO-AE-DS 的效果都远超 ZO-DS。 第二,使用 CGE 的 ZO-AE-DS 取得了零阶优化方法中最好的效果,甚至达到了比 FO-DS 更好的效果,这归功于自编码器的引入。ZO-AE-DS 黑箱防御框架解决了零阶优化在高维度变量下无法使用的难题。 第三,可以看出,使用一阶优化直接更新目标网络参数的随机平滑取得了最好的效果,但这是在所难免的。