中文
对抗样本与鲁棒评估:从 FGSM 公式到 scikit-learn 数字分类实验
对抗样本并非任意的噪声分布;它们是通过在神经网络的损失流形上优化对抗目标函数而计算出的、数学上精确的向量。一个生产级的评估不能仅仅依赖纯净准确率(Clean Accuracy)指标。它要求对有界扰动下的经验鲁棒性进行严格评估,分析雅可比矩阵,并计算防御机制带来的系统延迟和准确率权衡。
本文解构了基于梯度的攻击(FGSM 和 PGD)的数学框架,为红队提供了基于 PyTorch 的实现脚本,并详细探讨了对抗防御所需的生产级流水线架构。
一、威胁模型的数学边界
如果不定义攻击者的可行集,对抗性评估在数学上毫无意义。威胁模型由以下参数定义:
- 攻击者知识:白盒(完全访问 ( theta )、架构以及梯度 ( nabla_x J ))对比 黑盒(通过查询进行零阶优化)。
- 扰动约束(( L_p ) 范数):扰动 ( delta ) 受到 ( |delta|_p le epsilon ) 的限制。常见的范数包括 ( L_infty )(最大像素变化)和 ( L_2 )(欧几里得距离)。
- 目标函数:无目标攻击(( argmax_delta J(theta, x+delta, y) ))对比 有目标攻击(( argmin_delta J(theta, x+delta, y_{target}) ))。
二、快速梯度符号法 (FGSM)
FGSM 是一种基于梯度的单步攻击,它在输入 ( x ) 附近对损失函数 ( J ) 进行线性化。利用一阶泰勒展开,攻击者在 ( L_infty ) 约束下最大化损失。
数学公式如下:
[ delta = epsilon cdot text{sign}(nabla_x J(theta, x, y)) ]
[ x_{adv} = text{clip}(x + delta, x_{min}, x_{max}) ]
PyTorch FGSM 实现
import torch
import torch.nn as nn
def fgsm_attack(model, images, labels, epsilon, criterion):
images.requires_grad = True
outputs = model(images)
loss = criterion(outputs, labels)
# 计算关于输入的雅可比矩阵/梯度
model.zero_grad()
loss.backward()
data_grad = images.grad.data
# 构建扰动
sign_data_grad = data_grad.sign()
perturbed_images = images + epsilon * sign_data_grad
# 投影回有效的输入域 (例如 [0, 1])
perturbed_images = torch.clamp(perturbed_images, 0, 1)
return perturbed_images
三、投影梯度下降 (PGD)
虽然 FGSM 计算效率高,但它对对抗目标的拟合不足。投影梯度下降(PGD)是一种通用的一阶对抗攻击。它通过迭代的梯度步长解决约束优化问题,并在每一步后将扰动投影回 ( epsilon )-球内。
第 ( t+1 ) 步的更新规则为:
[ x^{t+1} = Pi_{x+mathcal{S}} left( x^t + alpha cdot text{sign}(nabla_x J(theta, x^t, y)) right) ]
其中 ( alpha ) 是步长,( Pi_{x+mathcal{S}} ) 是向 ( L_p ) 球的投影算子。
PyTorch PGD 实现
def pgd_attack(model, images, labels, epsilon, alpha, iters, criterion):
perturbed_images = images.clone().detach()
# 在 epsilon 球内随机初始化
perturbed_images = perturbed_images + torch.empty_like(perturbed_images).uniform_(-epsilon, epsilon)
perturbed_images = torch.clamp(perturbed_images, 0, 1)
for _ in range(iters):
perturbed_images.requires_grad = True
outputs = model(perturbed_images)
loss = criterion(outputs, labels)
model.zero_grad()
loss.backward()
with torch.no_grad():
adv_images = perturbed_images + alpha * perturbed_images.grad.sign()
eta = torch.clamp(adv_images - images, min=-epsilon, max=epsilon)
perturbed_images = torch.clamp(images + eta, 0, 1)
return perturbed_images
四、红蓝对抗复盘:生产架构防御
在生产流水线中,基础的“随机噪声”防御会被 EOT(Expectation Over Transformation)完全击溃。现实世界中的缓解措施依赖于架构级集成:
- 对抗训练逻辑 (Adversarial Training):经验风险最小化被修改为一个极小极大(min-max)鞍点问题:
[ min_theta mathbb{E}_{(x,y)sim mathcal{D}} left[ max_{|delta|_p le epsilon} J(theta, x+delta, y) right] ] 模型使用 PGD 生成的样本进行连续训练。这降低了损失表面的曲率,但代价是“准确率-鲁棒性权衡”(降低了干净样本的准确率)。 - 梯度掩码与混淆 (Gradient Masking):蓝队经常无意中引入破碎的梯度(例如不可导的预处理)。红队可以使用反向传播可导近似(BPDA)绕过这种防御。真正的防御需要通过黑盒迁移攻击来验证鲁棒性。
- 推理拒答与 OOD 检测:在深层特征表示上部署马哈拉诺比斯距离(Mahalanobis distance)度量,以检测远离干净训练流形的输入。
五、鲁棒性评估的报告标准
生产级的安全审计必须产出一份评估矩阵:
- 在不同 ( epsilon ) 预算谱下的 干净准确率 与 PGD-100(100 次迭代)准确率对比。
- 对无梯度攻击(如 SPSA)的评估,以证明防御不仅仅依赖于梯度混淆。
- 动态 OOD 检测模块引入的系统延迟开销。
六、鲁棒性评估矩阵
为了让结果可复查,建议把每一次鲁棒性测试写成矩阵,而不是只给一段“模型对抗鲁棒”的结论。
| 测试项 | 固定参数 | 记录指标 | 失败信号 |
|---|---|---|---|
| FGSM sweep | (epsilon) 从小到大扫描 | clean acc, adv acc | 极小扰动下准确率断崖式下降 |
| PGD-k | 固定 (epsilon),改变迭代次数 | adv acc, attack success rate | 迭代数增加后防御迅速失效 |
| Black-box transfer | 替代模型生成样本 | 迁移攻击成功率 | 白盒防御有效但黑盒迁移仍高 |
| Latency overhead | 开启检测/拒答模块 | P50/P95/P99 延迟 | 鲁棒性提升但线上延迟不可接受 |
七、如何避免虚假的安全感
如果某个防御让 FGSM 攻击失败,但 PGD 或黑盒迁移攻击仍然成功,很可能只是梯度被遮蔽,而不是真正鲁棒。报告中应同时包含白盒、黑盒和无梯度攻击结果,并说明输入预处理是否可导。对抗评估的目标不是证明模型“安全”,而是明确在给定扰动预算和攻击知识下,模型还能承受多少风险。
八、参考文献
英文
Adversarial Examples and Robust Evaluation: From FGSM to a scikit-learn Digits Experiment
在独立页面打开Adversarial examples are not arbitrary noise distributions; they are mathematically precise vectors computed by optimizing an adversarial objective function over a neural network's loss manifold. A production-grade evaluation cannot rely on clean accuracy metrics. It demands rigorous assessment of empirical robustness against bounded perturbations, analysis of the Jacobian matrix, and computation of the defense's systemic latency and accuracy trade-offs.
This article deconstructs the mathematical framework of gradient-based attacks (FGSM and PGD), provides PyTorch implementations for Red Teams, and details the production pipeline architectures required for adversarial defense.
1. The Mathematical Boundaries of Threat Models
An adversarial evaluation is mathematically meaningless without defining the feasible set of the attacker. The threat model is parameterized by:
- Attacker Knowledge: White-box (full access to ( theta ), architectures, and gradients ( nabla_x J )) vs. Black-box (zero-th order optimization via queries).
- Perturbation Constraint (( L_p ) Norm): The perturbation ( delta ) is bounded by ( |delta|_p le epsilon ). Common norms include ( L_infty ) (maximum pixel change) and ( L_2 ) (Euclidean distance).
- Objective Function: Untargeted (( argmax_delta J(theta, x+delta, y) )) vs. Targeted (( argmin_delta J(theta, x+delta, y_{target}) )).
2. Fast Gradient Sign Method (FGSM)
FGSM is a single-step gradient-based attack that linearizes the loss function ( J ) around the input ( x ). Utilizing a first-order Taylor expansion, the attacker maximizes the loss under an ( L_infty ) constraint.
The mathematical formulation is:
[ delta = epsilon cdot text{sign}(nabla_x J(theta, x, y)) ]
[ x_{adv} = text{clip}(x + delta, x_{min}, x_{max}) ]
PyTorch Implementation of FGSM
import torch
import torch.nn as nn
def fgsm_attack(model, images, labels, epsilon, criterion):
images.requires_grad = True
outputs = model(images)
loss = criterion(outputs, labels)
# Compute Jacobian / Gradients wrt input
model.zero_grad()
loss.backward()
data_grad = images.grad.data
# Create perturbation
sign_data_grad = data_grad.sign()
perturbed_images = images + epsilon * sign_data_grad
# Project back to valid input domain (e.g., [0, 1])
perturbed_images = torch.clamp(perturbed_images, 0, 1)
return perturbed_images
3. Projected Gradient Descent (PGD)
While FGSM is computationally efficient, it underfits the adversarial objective. Projected Gradient Descent (PGD) is the universal first-order adversary. It solves the constrained optimization problem via iterative gradient steps, projecting the perturbation back onto the ( epsilon )-ball after each step.
The update rule for step ( t+1 ) is:
[ x^{t+1} = Pi_{x+mathcal{S}} left( x^t + alpha cdot text{sign}(nabla_x J(theta, x^t, y)) right) ]
Where ( alpha ) is the step size and ( Pi_{x+mathcal{S}} ) is the projection operator onto the ( L_p ) ball.
PyTorch Implementation of PGD
def pgd_attack(model, images, labels, epsilon, alpha, iters, criterion):
perturbed_images = images.clone().detach()
# Random start within epsilon ball
perturbed_images = perturbed_images + torch.empty_like(perturbed_images).uniform_(-epsilon, epsilon)
perturbed_images = torch.clamp(perturbed_images, 0, 1)
for _ in range(iters):
perturbed_images.requires_grad = True
outputs = model(perturbed_images)
loss = criterion(outputs, labels)
model.zero_grad()
loss.backward()
with torch.no_grad():
adv_images = perturbed_images + alpha * perturbed_images.grad.sign()
eta = torch.clamp(adv_images - images, min=-epsilon, max=epsilon)
perturbed_images = torch.clamp(images + eta, 0, 1)
return perturbed_images
4. Red/Blue Team Post-Mortem: Production Architecture Defenses
In production pipelines, basic "random noise" defenses are completely defeated by Expectation Over Transformation (EOT). Real-world mitigation relies on architectural integration:
- Adversarial Training Logic: The empirical risk minimization is modified to a min-max saddle point problem:
[ min_theta mathbb{E}_{(x,y)sim mathcal{D}} left[ max_{|delta|_p le epsilon} J(theta, x+delta, y) right] ] Models are continuously trained on PGD-generated samples. This lowers the curvature of the loss surface but comes at the cost of the "accuracy-robustness trade-off" (diminished clean accuracy). - Gradient Masking & Obfuscation (A Warning): Blue teams often inadvertently introduce shattered gradients (e.g., non-differentiable preprocessing). Red teams bypass this using Backward Pass Differentiable Approximation (BPDA). True defense requires verifying robustness via black-box transfer attacks.
- Inference Abstention & Out-of-Distribution (OOD) Detection: Deploying Mahalanobis distance metrics on deep feature representations to detect inputs lying far from the clean training manifold.
5. Robust Evaluation Reporting Standards
A production security audit must yield an evaluation matrix:
- Clean Accuracy vs. PGD-100 (100 iterations) Accuracy across a spectrum of ( epsilon ) budgets.
- Evaluation of gradient-free attacks (e.g., SPSA) to certify that defenses are not merely relying on gradient obfuscation.
- System latency overhead introduced by dynamic OOD detection modules.
6. Robustness Audit Matrix
The strongest adversarial evaluation reports include both attack strength and defense side effects. A model should not be called robust unless the evaluation records the attack budget, adaptive checks, and production impact.
| Audit dimension | Required measurement | Interpretation | Red flag |
|---|---|---|---|
| Attack budget | ( epsilon ), norm type, PGD steps, step size, random restarts | Defines what the adversary is actually allowed to do | Only reporting one weak FGSM result and claiming broad robustness |
| Adaptive attack | BPDA/EOT or gradient-free transfer checks when preprocessing is non-differentiable | Separates real robustness from gradient masking | Robust accuracy is high for white-box gradients but low for black-box transfer |
| Clean accuracy trade-off | Clean, FGSM, PGD-20, PGD-100, and OOD accuracy in the same report | Shows whether the defense is useful for normal traffic | Robustness improves only by making the model reject or misclassify clean data |
| Runtime cost | Median and p95 latency with OOD detection or input purification enabled | Connects security controls to deployability | Defense requires many forward passes and cannot meet service latency budgets |
7. References
对抗样本并非任意的噪声分布;它们是通过在神经网络的损失流形上优化对抗目标函数而计算出的、数学上精确的向量。一个生产级的评估不能仅仅依赖纯净准确率(Clean Accuracy)指标。它要求对有界扰动下的经验鲁棒性进行严格评估,分析雅可比矩阵,并计算防御机制带来的系统延迟和准确率权衡。
本文解构了基于梯度的攻击(FGSM 和 PGD)的数学框架,为红队提供了基于 PyTorch 的实现脚本,并详细探讨了对抗防御所需的生产级流水线架构。
一、威胁模型的数学边界
如果不定义攻击者的可行集,对抗性评估在数学上毫无意义。威胁模型由以下参数定义:
- 攻击者知识:白盒(完全访问 ( theta )、架构以及梯度 ( nabla_x J ))对比 黑盒(通过查询进行零阶优化)。
- 扰动约束(( L_p ) 范数):扰动 ( delta ) 受到 ( |delta|_p le epsilon ) 的限制。常见的范数包括 ( L_infty )(最大像素变化)和 ( L_2 )(欧几里得距离)。
- 目标函数:无目标攻击(( argmax_delta J(theta, x+delta, y) ))对比 有目标攻击(( argmin_delta J(theta, x+delta, y_{target}) ))。
二、快速梯度符号法 (FGSM)
FGSM 是一种基于梯度的单步攻击,它在输入 ( x ) 附近对损失函数 ( J ) 进行线性化。利用一阶泰勒展开,攻击者在 ( L_infty ) 约束下最大化损失。
数学公式如下:
[ delta = epsilon cdot text{sign}(nabla_x J(theta, x, y)) ]
[ x_{adv} = text{clip}(x + delta, x_{min}, x_{max}) ]
PyTorch FGSM 实现
import torch
import torch.nn as nn
def fgsm_attack(model, images, labels, epsilon, criterion):
images.requires_grad = True
outputs = model(images)
loss = criterion(outputs, labels)
# 计算关于输入的雅可比矩阵/梯度
model.zero_grad()
loss.backward()
data_grad = images.grad.data
# 构建扰动
sign_data_grad = data_grad.sign()
perturbed_images = images + epsilon * sign_data_grad
# 投影回有效的输入域 (例如 [0, 1])
perturbed_images = torch.clamp(perturbed_images, 0, 1)
return perturbed_images
三、投影梯度下降 (PGD)
虽然 FGSM 计算效率高,但它对对抗目标的拟合不足。投影梯度下降(PGD)是一种通用的一阶对抗攻击。它通过迭代的梯度步长解决约束优化问题,并在每一步后将扰动投影回 ( epsilon )-球内。
第 ( t+1 ) 步的更新规则为:
[ x^{t+1} = Pi_{x+mathcal{S}} left( x^t + alpha cdot text{sign}(nabla_x J(theta, x^t, y)) right) ]
其中 ( alpha ) 是步长,( Pi_{x+mathcal{S}} ) 是向 ( L_p ) 球的投影算子。
PyTorch PGD 实现
def pgd_attack(model, images, labels, epsilon, alpha, iters, criterion):
perturbed_images = images.clone().detach()
# 在 epsilon 球内随机初始化
perturbed_images = perturbed_images + torch.empty_like(perturbed_images).uniform_(-epsilon, epsilon)
perturbed_images = torch.clamp(perturbed_images, 0, 1)
for _ in range(iters):
perturbed_images.requires_grad = True
outputs = model(perturbed_images)
loss = criterion(outputs, labels)
model.zero_grad()
loss.backward()
with torch.no_grad():
adv_images = perturbed_images + alpha * perturbed_images.grad.sign()
eta = torch.clamp(adv_images - images, min=-epsilon, max=epsilon)
perturbed_images = torch.clamp(images + eta, 0, 1)
return perturbed_images
四、红蓝对抗复盘:生产架构防御
在生产流水线中,基础的“随机噪声”防御会被 EOT(Expectation Over Transformation)完全击溃。现实世界中的缓解措施依赖于架构级集成:
- 对抗训练逻辑 (Adversarial Training):经验风险最小化被修改为一个极小极大(min-max)鞍点问题:
[ min_theta mathbb{E}_{(x,y)sim mathcal{D}} left[ max_{|delta|_p le epsilon} J(theta, x+delta, y) right] ]
模型使用 PGD 生成的样本进行连续训练。这降低了损失表面的曲率,但代价是“准确率-鲁棒性权衡”(降低了干净样本的准确率)。 - 梯度掩码与混淆 (Gradient Masking):蓝队经常无意中引入破碎的梯度(例如不可导的预处理)。红队可以使用反向传播可导近似(BPDA)绕过这种防御。真正的防御需要通过黑盒迁移攻击来验证鲁棒性。
- 推理拒答与 OOD 检测:在深层特征表示上部署马哈拉诺比斯距离(Mahalanobis distance)度量,以检测远离干净训练流形的输入。
五、鲁棒性评估的报告标准
生产级的安全审计必须产出一份评估矩阵:
- 在不同 ( epsilon ) 预算谱下的 干净准确率 与 PGD-100(100 次迭代)准确率对比。
- 对无梯度攻击(如 SPSA)的评估,以证明防御不仅仅依赖于梯度混淆。
- 动态 OOD 检测模块引入的系统延迟开销。
六、鲁棒性评估矩阵
为了让结果可复查,建议把每一次鲁棒性测试写成矩阵,而不是只给一段“模型对抗鲁棒”的结论。
| 测试项 | 固定参数 | 记录指标 | 失败信号 |
|---|---|---|---|
| FGSM sweep | (epsilon) 从小到大扫描 | clean acc, adv acc | 极小扰动下准确率断崖式下降 |
| PGD-k | 固定 (epsilon),改变迭代次数 | adv acc, attack success rate | 迭代数增加后防御迅速失效 |
| Black-box transfer | 替代模型生成样本 | 迁移攻击成功率 | 白盒防御有效但黑盒迁移仍高 |
| Latency overhead | 开启检测/拒答模块 | P50/P95/P99 延迟 | 鲁棒性提升但线上延迟不可接受 |
七、如何避免虚假的安全感
如果某个防御让 FGSM 攻击失败,但 PGD 或黑盒迁移攻击仍然成功,很可能只是梯度被遮蔽,而不是真正鲁棒。报告中应同时包含白盒、黑盒和无梯度攻击结果,并说明输入预处理是否可导。对抗评估的目标不是证明模型“安全”,而是明确在给定扰动预算和攻击知识下,模型还能承受多少风险。
八、参考文献
搜索问题
常见问题
这篇文章适合谁读?
这篇文章适合想用 专业 难度理解“对抗样本与鲁棒评估:从 FGSM 公式到 scikit-learn 数字分类实验”的读者,预计阅读时间约 11 分钟,重点覆盖 Adversarial Examples, FGSM, Robust Evaluation, scikit-learn。
读完后下一步应该看什么?
推荐下一步阅读“数据投毒与后门攻击防御:污染率、触发器和训练管线隔离”,这样可以把当前知识点接到更完整的学习路线里。
这篇文章有没有可运行代码或配套资源?
有。页面里的运行说明、资源卡片和下载入口会指向复现实验所需的命令、数据、代码或说明文件。
这篇文章和整个网站的学习路线有什么关系?
它会通过文章上下文、学习路线、资源库和项目时间线连接到同一主题下的其他内容。
文章上下文
人工智能项目
从 AI、机器学习、训练评估、神经网络到 Python 小实战、手写数字识别、CIFAR-10 CNN、对抗性流量防御和 AI 安全攻防,按顺序建立基础。
继续下一步
继续:数据投毒与后门防御配套资源
人工智能项目 / CODE
FGSM digits 鲁棒评估脚本
本地 digits 分类器的 FGSM-style 扰动和准确率下降实验。
人工智能项目 / ARCHIVE
AI Security Lab 完整实验包
包含安全 toy scripts、结果 CSV、风险登记表、攻防矩阵和架构图。
项目时间线
已发布文章
- 人工智能基础学习路线:先理解什么是 AI、机器学习和深度学习 面向有编程基础的读者,梳理 AI、机器学习、深度学习的关系,并给出可执行的人工智能基础学习路线。
- 机器学习完整流程:从数据、特征到模型预测 从工程视角拆解机器学习完整流程:定义问题、理解数据、处理特征、训练模型、预测和评估。
- 机器学习算法怎么选:分类、回归、聚类和推荐场景对照表 用任务类型、数据规模、解释性和部署成本选择机器学习算法,覆盖逻辑回归、决策树、随机森林、K-means 和表格数据基线模型。
- 特征工程入门实战:用 scikit-learn 处理缺失值、类别变量和数值标准化 用 scikit-learn Pipeline 和 ColumnTransformer 完成特征工程,处理缺失值、类别变量、数值标准化,并避免数据泄漏。
- 模型训练与评估入门:损失函数、过拟合和准确率怎么理解 讲清楚模型训练中的参数、损失函数、梯度下降、过拟合,以及准确率、召回率、F1 等分类评估指标。
- 过拟合和欠拟合怎么解决:机器学习模型调优实战指南 用训练分数和验证分数判断过拟合与欠拟合,并通过模型复杂度、正则化、交叉验证和特征工程调整机器学习模型。
- 神经网络基础:从感知机到多层网络 从一个神经元讲起,解释权重、偏置、激活函数、前向传播、反向传播和典型神经网络训练循环。
- 神经网络矩阵微积分:从 y = Wx + b 推导 MSE 梯度 用手算、矩阵形状图、NumPy 代码和梯度检查解释 y = Wx + b 下 dL/dW = (ŷ - y)x^T 的来源。
- 反向传播计算图:两层 MLP 的前向、局部梯度和反向传播 把两层 MLP 拆成计算图,手算 ReLU、softmax cross-entropy、dW2、dW1,并用 NumPy 复现实验结果。
- 梯度下降与优化器几何:Momentum、Adam 和 loss surface 轨迹 在二维二次函数上手算梯度下降前几步,比较 Momentum 和 Adam 的轨迹,并用代码生成 loss contour。
- 卷积与感受野数学:5×5 输入、3×3 kernel、padding 和 im2col 手算一次 5x5 输入与 3x3 kernel 的离散卷积,解释输出尺寸、padding、stride、感受野和 im2col。
- Transformer Attention 数学:Q/K/V、Softmax 权重、Mask 与 KV Cache 用 3 个 token 手算 scaled dot-product attention,解释 Q/K/V、softmax、mask、多头注意力和 KV cache。
- Python 人工智能小实战:用 scikit-learn 完成一个分类任务 使用 scikit-learn 内置教学数据集跑通一个分类任务,覆盖数据加载、拆分、标准化、训练、预测、评估和实验记录。
- 手写数字识别项目入门:先读懂 train.csv、test.csv 和标签结构 从项目文件结构入手,读懂手写数字训练集、测试集、标签列和 784 维像素输入,为后续 C 分类器和实验台打基础。
- 用 C 实现手写数字 Softmax 分类器:从 784 维像素到 submission.csv 结合当前项目源码,讲清楚 softmax 多分类、损失函数、梯度更新、混淆矩阵输出,以及 submission.csv 的生成过程。
- 手写数字实验记录:怎么把离线分类项目接进浏览器实验台 解释浏览器实验台为什么采用轻量预训练模型、它和离线 C 项目的关系,以及如何用样本浏览和手绘输入理解预测结果。
- CIFAR-10 Tiny CNN 教程:用 C 语言实现小型卷积神经网络图像分类 用单文件 C 程序完成 CIFAR-10 小型 CNN 图像分类,讲解数据格式、网络结构、训练命令、loss、accuracy、常见错误和改进方向。
- 构建高熵流量防御:基于 Python 的连接层白噪声混淆与对抗性机器学习实践 以 mld_chaffing_v2.py 虚幻镜项目为例,讲解加密元数据泄漏、信息熵、分布距离、混淆矩阵、空闲窗口微脉冲和性能测试取舍。
- AI 安全威胁建模:用 NIST AML、MITRE ATLAS 和 OWASP 建立攻防地图 用 NIST Adversarial ML、MITRE ATLAS 和 OWASP LLM Top 10 建立 AI 安全威胁模型,覆盖资产、攻击面、证据和剩余风险。
- 对抗样本与鲁棒评估:从 FGSM 公式到 scikit-learn 数字分类实验 从 FGSM 公式解释对抗样本,用 scikit-learn digits toy 实验评估 clean accuracy、perturbed accuracy 和扰动预算。
- 数据投毒与后门攻击防御:污染率、触发器和训练管线隔离 用 toy digits 实验解释数据投毒、后门触发器、attack success rate、数据来源审计和训练管线隔离。
- 模型隐私与模型窃取风险:成员推断、模型抽取和输出接口防护 用本地 toy 实验解释成员推断、模型抽取、membership AUC、surrogate fidelity、输出最小化和查询治理。
- LLM/RAG/Agent 安全:Prompt Injection、工具权限和边界感知防护 从 RAG 和 Agent 架构解释 prompt injection、外部数据降权、工具 allowlist、人工审批和边界感知防护。
已公开资源
- Python AI 小实战代码说明 文章内包含可直接复制运行的 scikit-learn 分类脚本。
- digit_softmax_classifier.c 手写数字 softmax 分类器的 C 语言源码。
- train.csv.zip 手写数字训练集压缩包,包含 42000 条带标签样本。
- test.csv.zip 手写数字测试集压缩包,包含 28000 条待预测样本。
- sample_submission.csv 官方提交格式示例,可直接对照最终输出字段。
- submission.csv 当前 C 项目跑出的预测结果文件。
- digit-playground-model.json 浏览器实验台使用的轻量 softmax 演示模型与样本。
- digit-sample-grid.svg 从训练集中抽取的小型手写数字预览网格。
- 手写数字项目打包下载 包含源码、压缩数据、提交文件、浏览器模型和样本预览图。
- cifar10_tiny_cnn.c 源码 单文件 C 语言 tiny CNN,包含 CIFAR-10 读取、卷积、池化、softmax 和反向传播。
- model_weights.bin 样例权重 一次本地小样本运行生成的模型权重文件。
- test_predictions.csv 预测样例 CIFAR-10 tiny CNN 输出的测试预测样例。
- CNN 项目说明 PDF 配套 CNN 项目说明材料。
- 虚幻镜脱敏代码骨架 去除控制口令、真实节点和目标列表后的 mld_chaffing_v2.py 控制流程说明。
- 虚幻镜压力测试记录模板 用于记录 CPU、内存、线程峰值、微脉冲速率、延迟和错误数的脱敏 CSV 模板。
- 虚幻镜分类器评估模板 用于记录 TP、FN、FP、TN、accuracy、precision、recall、F1、ROC-AUC、熵和 JS 散度的 CSV 模板。
- 虚幻镜资源说明 说明公开资源为何只提供脱敏代码、测试模板和架构笔记。
- AI Security Lab 说明 说明 AI 安全攻防系列的安全边界、安装命令和 quick-run 实验。
- AI Security Lab 完整实验包 包含安全 toy scripts、结果 CSV、风险登记表、攻防矩阵和架构图。
- AI 安全风险登记表 面向 AI 威胁建模和上线评审的 CSV 风险登记模板。
- AI 攻防矩阵 把攻击面、toy demo、指标和防护控制映射到一张 CSV 表。
- AI Security Lab 架构图 展示威胁建模、鲁棒评估、数据完整性、模型隐私和 RAG 防护之间的关系。
- FGSM digits 鲁棒评估脚本 本地 digits 分类器的 FGSM-style 扰动和准确率下降实验。
- 数据投毒与后门 toy 脚本 用 digits 数据演示污染率、触发器和 attack success rate。
- 模型隐私与抽取 toy 脚本 输出 membership AUC、target accuracy、surrogate fidelity 和 surrogate accuracy。
- RAG prompt injection guard toy 脚本 用确定性 toy agent 演示外部数据降权和工具权限阻断。
- Deep Learning Math Lab 说明 包含安装命令、脚本入口、输出结果和文章图示生成说明。
- 深度学习数学完整实验包 打包 NumPy 脚本、CSV 结果、公式图、loss contour、卷积图和 attention 热图。
- 梯度检查结果 CSV 保存 MSE 梯度解析值、数值差分值和误差范数。
- 优化器轨迹 CSV 记录梯度下降、Momentum 和 Adam 在二维二次函数上的逐步坐标与 loss。
- Attention 权重 CSV 三 token scaled dot-product attention 的 scores、softmax weights 和 context 输出。
- 深度学习数学图示目录 包含矩阵形状、计算图、loss contour、卷积扫描和 attention heatmap。
- 深度学习数学交互演示 在浏览器里调梯度检查、优化轨迹、卷积输出尺寸和 attention 权重热图。
- 深度学习专题分享图 用于分享深度学习 / CNN 专题页的 1200x630 SVG 图。
- 从零实现机器学习分享图 用于分享 K-means、Iris 和机器学习流程专题页的 1200x630 SVG 图。
- 学生 AI 项目分享图 用于分享手写数字、C 分类器和浏览器实验台专题页的 1200x630 SVG 图。
- CNN 卷积扫描动画 Remotion 生成的 8 秒短动画,展示 3x3 卷积核如何扫描输入并形成特征图。
当前学习路线
- 人工智能基础学习路线 学习路线节点
- 机器学习完整流程 学习路线节点
- 机器学习算法怎么选 学习路线节点
- 特征工程入门实战 学习路线节点
- 模型训练与评估入门 学习路线节点
- 过拟合和欠拟合怎么解决 学习路线节点
- 神经网络基础 学习路线节点
- 神经网络矩阵微积分 学习路线节点
- 反向传播计算图 学习路线节点
- 梯度下降与优化器几何 学习路线节点
- 卷积与感受野数学 学习路线节点
- Transformer Attention 数学 学习路线节点
- LLM 可视化教学台 学习路线节点
- Python 人工智能小实战 学习路线节点
- 手写数字数据结构入门 学习路线节点
- 用 C 实现手写数字 Softmax 分类器 学习路线节点
- 手写数字实验台说明 学习路线节点
- CIFAR-10 Tiny CNN 教程 学习路线节点
- 高熵流量防御实验 学习路线节点
- AI 安全威胁建模 学习路线节点
- 对抗样本与鲁棒评估 学习路线节点
- 数据投毒与后门防御 学习路线节点
- 模型隐私与模型抽取防护 学习路线节点
- LLM/RAG/Agent 安全 学习路线节点
下一步计划
- 补充更多图像分类和误差分析案例
- 把常见指标整理成速查表
- 继续补充 AI 安全防御实验记录
