你真的懂对抗样本吗？一文重新思考对抗样本背后的含义( 七 )_选自towardsdatascience作者：AlexAdam

生成式对抗样本

有篇非常酷的论文 (https://arxiv.org/pdf/1805.07894.pdf) 介绍了一种新的制作对抗样本的方法。不是使用精心制作的对抗性噪声扰动已有的图片，而是使用 GAN 从头生成能够愚弄目标模型的图片。

具体来说，他们使用一个辅助分类器 GAN(AC-GAN)，能够对图像类别进行调节，以便控制所生成图像的类别。这产生了「无约束对抗样本」，因为从头生成的图像没有距离可供约束。

然而，这并不满足先前提及的标准 (1) 或 (2)。尽管他们的方法很有用，也允许模型调试和通过生成新的能使模型失败的图片进行数据增强，但他们的分析将泛化性能和对抗的鲁棒性看作同一件事。为了恰当地分析模型的鲁棒性，我们需要能够分开泛化性能和对抗鲁棒性两个指标，因为它们彼此不一致。因此，尽管抛弃对抗样本的基于扰动的定义是十分诱人的，但是现在它们是唯一能够以独立的、非混淆的方式研究对抗鲁棒性的方法。

总结

对抗样本的当前定义对于像 MNIST 这样的数据集来说存在些微的缺陷。尽管对于 ImageNet 这样的数据集来说更有意义，因为向它添加扰动更难被人注意到，也不会使得图片看上去像是不同类别的奇怪组合。