摘要

神经网络已知容易受到对抗样本的攻击，这些输入经过有意扰动后在视觉上仍与原始输入相似，但会导致分类错误。最近的研究表明，对于给定的数据集和分类器，存在所谓的通用对抗扰动（universal adversarial perturbations），即一种单一的扰动可以应用于任何输入并导致其分类错误。在这项工作中，我们引入了通用对抗网络（universal adversarial networks），这是一种生成网络，能够在其生成的输出添加到数据集中的干净样本时欺骗目标分类器。我们展示了该技术在已知的通用对抗攻击方法上有所改进。