我们用来自真实分析的思想补充这些见解,以进一步激发投影梯度下降(PGD)作为通用的“一阶攻击”,即,利用有关网络的本地一阶信息的最强攻击。 我们探索了网络架构对对抗鲁棒性的影响,并发现模型能力在这里起着重要的作用。为了可靠地抵抗强大的对抗攻击,网络需要的容量要比仅正确分类良性样本的容量更大。这表明,鞍点...