NeurIPS 2025｜指哪打哪，可控對抗樣本生成器來了！

近日，在全球人工智能領域最具影響力的頂級學術會議 NeurIPS（神經信息處理系統大會）上， 清華大學和螞蟻數科聯合提出了一種名為 Dual-Flow 的新型對抗攻擊生成框架。

簡單來說，Dual-Flow 是一個能夠從海量圖像數據中學習 “通用擾動規律” 的系統，它不依賴目標模型結構、不需要梯度，卻能對多種模型、多種類別發起黑盒攻擊。其核心思想是通過 “前向擾動建模 — 條件反向優化” 的雙流結構，實現對抗樣本的高可遷移性與高成功率，同時保持極低的視覺差異。

可以把它理解為一個“可控的對抗樣本生成器只需指定想攻擊的圖像類別（如狗類、人類），模型就能自動生成該類別下逼真且有效的攻擊圖像，為 AI 安全帶來了前所未有的挑戰。

• 論文標題：Dual-Flow: Transferable Multi-Target, Instance-Agnostic Attacks via In-the-wild Cascading Flow Optimization
• 作者：Yixiao Chen, Shikun Sun, Jianshu Li, Ruoyu Li, Zhe Li, Junliang Xing
• 機構：Tsinghua University, Ant Group
• 論文地址：https://openreview.net/pdf?id=zhCv5uZ8bh
• GitHub：https://github.com/Chyxx/Dual-Flow

研究背景與意義

隨著 AI 模型在圖像識別、自動駕駛、監控系統等領域廣泛部署，“模型安全” 成為重要問題。尤其在黑盒環境下（攻擊者無法知道模型結構和梯度），攻擊通常依賴遷移性：希望一個方法能同時迷惑多個模型或多個類別。

傳統方法存在兩大局限：

1. 實例專屬攻擊（instance-specific）：高成功率，但只能針對單張圖片，遷移性差。
2. 通用生成器攻擊（instance-agnostic）：遷移性有限，面對多目標、多模型時成功率下降。

DualFlow 正是為了解決這些問題而提出的 —— 通過統一的生成優化框架，實現多目標、多模型、實例無關的高成功率攻擊。

? 核心創新點

前向 + 反向 Flow 結構

DualFlow 并不在像素級別直接加噪聲，而是：

• 先把圖片映射到 flow /latent 空間，在這個空間做結構化擾動
• 再通過 velocity function 反向映射到圖像空間，生成對抗樣本

相比傳統 “像素擾動”，這種方法能生成更自然、更隱蔽、結構化的擾動，同時保持高遷移性。

多目標、實例無關攻擊能力

DualFlow 的統一框架天然支持：

• 多目標（multitarget）：一個生成器即可攻擊多個類別
• 多模型（multimodel）：可遷移到不同架構的模型
• 實例無關（instanceagnostic）：無需針對特定圖像訓練

這意味著，以往需要 “每個目標單獨訓練生成器” 的方法，現在只需一個生成器就能覆蓋多個類別和模型，顯著降低成本、提高實用性。

級聯分布偏移訓練（Cascading Distribution Shift Training）

實驗結果

在 ImageNet 驗證集上的實驗表明，DualFlow 在單目標和多目標攻擊中都展現了強大的遷移能力。

Table 3 進一步驗證了 DualFlow 在多目標、多模型以及對抗訓練模型上的遷移性能。結果顯示，即使面對經過對抗訓練的模型，DualFlow 依然保持較高成功率，體現了其在黑盒環境下的通用性和強大攻擊力。整體來看，這些實驗充分證明了 DualFlow 在實現多目標、多模型、實例無關攻擊上的優勢，同時在保證視覺隱蔽性的前提下，提供了現實環境下的高遷移攻擊能力。

總結與貢獻

Dual-Flow 提出了一種全新的通用對抗樣本生成范式，通過前向與反向 Flow 的協同結構以及級聯式分布偏移訓練，實現了在多目標、多模型場景下依舊穩定有效的實例無關攻擊。相比傳統依賴像素級噪聲的擾動方式，Dual Flow 所生成的擾動更具結構性、更難被察覺，同時一個生成器即可覆蓋多個類別與模型，無需為每個攻擊目標單獨訓練，大幅降低了使用成本。

實驗結果表明，Dual-Flow 在黑盒條件下展現出極強的遷移性，例如在從 Inception-v3 遷移攻擊 ResNet-152 的實驗中，攻擊成功率提升高達 34.58%。

該技術已經應用于螞蟻數科身份安全相關產品的能力優化，集成了該對抗生成框架用于對抗樣本的生成和檢測，使得防御體系對對抗樣本有更好的魯棒性。