15.1 对抗样本现象：白盒攻击、黑盒攻击与物理世界攻击

15.1 对抗样本现象：白盒攻击、黑盒攻击与物理世界攻击

深度神经网络等机器学习模型虽然在众多任务中表现出色，但其决策过程被发现存在一个普遍且严重的脆弱性：对抗样本攻击。对抗样本是指通过对原始输入施加人类难以察觉的细微扰动，从而能够导致模型以高置信度做出错误预测的恶意样本。这一现象自被系统揭示以来，已成为人工智能安全领域的核心研究议题。对抗样本的存在不仅揭示了模型决策边界的高度复杂与非直观特性，更对将AI系统部署于安全关键领域（如自动驾驶、金融风控、身份认证）构成了现实威胁。根据攻击者对目标模型信息的掌握程度以及攻击发生的领域，对抗样本攻击主要可分为三大类：白盒攻击、黑盒攻击与物理世界攻击。本节将系统阐述这三类攻击的核心概念、主流方法、技术挑战及其内在关联。

15.1.1 白盒攻击：完全信息下的精确优化

白盒攻击是攻击条件最为理想的一种场景。在此设定下，攻击者被假设拥有关于目标模型的全部知识，包括但不限于模型的具体架构、所有参数（权重与偏置）、所使用的激活函数以及训练过程的细节。这种完全的透明度使得攻击者能够直接利用模型的梯度信息，通过优化算法精确地构造对抗扰动。

15.1.1.1 基本数学框架

白盒攻击通常被形式化为一个有约束的优化问题。给定一个分类模型fff，一个原始干净样本x\mathbf{x}x及其真实标签yyy，攻击者的目标是寻找一个扰动δ\deltaδ，使得扰动后的样本x′=x+δ\mathbf{x}' = \mathbf{x} + \deltax′=x+δ满足：

1. 对抗性：f(x′)≠yf(\mathbf{x}') \neq yf(x′)=y（非目标攻击）或f(x′)=ytargetf(\mathbf{x}') = y_{target}f(x′)=ytarget​（目标攻击，ytargety_{target}