s8-6: 决策边界对齐度作为迁移性代理变量的理论验证

决策边界对齐度（源模型与目标模型在对抗扰动方向上的决策边界法向量夹角的余弦相似度）比CKA更能预测对抗迁移性，且两者联合可解释迁移率方差的80%以上。

新颖度: 0.85

s8-7: 基于Copula的MI可分离性指数在对抗迁移场景下的适用性研究

在细粒度分类有限样本（CUB-200-2011的200类，每类约30张训练样本）下，Copula-based MI可分离性指数将低于0.5（不可靠阈值），表明MI分解在细粒度场景下不可靠，应转向基于合成数据的理论验证。

新颖度: 0.8

s8-8: 细粒度分类中特征可用性效应的量化方法及其与样本频次效应的分离

在细粒度分类中，特征可用性效应（如稀有物种的独特纹理、形状）比样本频次效应更能解释长尾类别的对抗迁移性差异，且两者可以通过控制预训练覆盖度进行分离。

新颖度: 0.85

s8-9: 动态特征组合攻击的计算成本-收益分析

动态特征组合攻击（在线学习最优特征组合）的迁移性提升与计算成本呈对数关系：前向传播次数增加10倍，迁移率提升约20%；且双特征组合（N=2）是帕累托最优，超过N=2后收益递减。

新颖度: 0.8

s8-10: 学术界反应速度假设的修正：审稿周期与实验复现时间对预测时间窗口的影响

考虑CVPR 2027截稿日期（2026年11月）和平均实验复现时间（3-6个月），第2轮鲲鹏预测的时间窗口应向后推迟1-2个季度，且概率应降低10-15个百分点。

新颖度: 0.7

种子 s8-6 深度分析

决策边界对齐度作为迁移性代理变量的理论验证

1. Evidence Layer（证据层）

Claim 1: CKA对方向不敏感，而决策边界对齐度（对抗梯度余弦相似度）能捕捉方向信息。

* 来源类型: VERIFIED * 来源引用: [1. Kornblith et al., 2019] [2. Ilyas et al., 2019] * 证据强度: HIGH。CKA被设计为对正交变换不变，因此对方向信息不敏感。对抗梯度方向是迁移攻击成功的关键因素，已被广泛验证。 * 可证伪性: 低。这是数学性质，而非经验假设。

Claim 2: 联合使用CKA和决策边界对齐度能比单一指标更好地预测迁移性。

* 来源类型: INFERRED * 来源引用: [1. Kornblith et al., 2019] [3. Demontis et al., 2019] * 证据强度: MEDIUM。现有研究分别证明了CKA与迁移性相关，以及梯度对齐与迁移性相关，但尚未有研究系统性地验证两者的联合预测能力。 * 可证伪性: 高。如果联合模型的R²不显著高于单一指标模型，则该假设被证伪。

Claim 3: 在细粒度数据集（CUB-200-2011, Stanford Cars, NABirds）上，该联合预测框架有效。

* 来源类型: DATA_GAP * 来源引用: 无 * 证据强度: 无。这是待验证的核心假设。细粒度分类的类间差异小，可能导致决策边界对齐度的方差也小，从而降低其预测能力。 * 可证伪性: 高。

2. Mechanism Layer（机制层）

因果机制: 对抗迁移性的本质是源模型和目标模型在输入空间中的决策边界相似性。

1. CKA 衡量的是模型在表示空间中的特征相似性。高CKA意味着两个模型学到了相似的“概念”，这为对抗样本的迁移提供了基础。 2. 决策边界对齐度（对抗梯度余弦相似度） 衡量的是模型在决策边界处的局部方向一致性。高对齐度意味着在某个数据点附近，两个模型对扰动的“脆弱方向”一致。 3. 联合机制: CKA提供了“全局”的表示相似性，而决策边界对齐度提供了“局部”的脆弱方向一致性。两者是互补的：高CKA但低对齐度意味着模型虽然概念相似，但在具体决策边界上存在偏移（例如，一个模型更依赖纹理，另一个更依赖形状）；低CKA但高对齐度则不太可能发生，因为表示空间差异大时，局部方向很难一致。

薄弱环节: 决策边界对齐度的计算依赖于对抗梯度，这本身是一个计算开销较大的过程。此外，在细粒度场景下，类间差异小，梯度方向可能高度相似，导致对齐度指标区分度不足。

3. Tension Layer（张力层）

张力1: CKA的“全局性”与决策边界对齐度的“局部性”之间的张力。CKA在全局表示空间上计算，而决策边界对齐度仅在特定数据点附近计算。如何保证局部对齐度能代表全局的迁移性？

* 可调和性: 可调和。通过在多类、多样本上平均对齐度，可以近似得到全局的迁移性。

张力2: 计算成本与预测精度的张力。联合模型需要计算CKA（O(n^2)）和对抗梯度（O(n * 前向传播次数)），计算成本远高于单一指标。

* 可调和性: 可调和。如果联合模型的预测精度提升显著（例如，R²提升>0.1），则成本是可接受的。

4. Actionability Layer（可执行层）

行动1: 在CUB-200-2011上，选取ResNet-50和ViT-B/16作为模型对，计算CKA和决策边界对齐度。

* 时间窗口: 2周 * 前提条件: 获取预训练模型权重和数据集。 * 失败模式: 计算资源不足（ViT模型计算量大）。

行动2: 构建线性回归和随机森林模型，以CKA和对齐度为特征，以迁移率为目标。

* 时间窗口: 1周 * 前提条件: 行动1完成。 * 失败模式: 特征共线性导致模型不稳定。

行动3: 对比联合模型与单一模型的R²和RMSE。

* 时间窗口: 1周 * 前提条件: 行动2完成。 * 失败模式: 联合模型提升不显著。

置信度: 0.65。理论机制清晰，但细粒度场景下的实证结果存在不确定性。

种子 s8-7 深度分析

基于Copula的MI可分离性指数在对抗迁移场景下的适用性研究

1. Evidence Layer（证据层）

Claim 1: 在有限样本下，Copula-based MI分解可能不可靠。

* 来源类型: VERIFIED * 来源引用: [4. Kraskov et al., 2004] [5. Runge, 2018] * 证据强度: HIGH。基于k近邻的MI估计器在样本量不足时存在偏差和方差。Copula-based方法虽然能分离MI，但同样受样本量影响。 * 可证伪性: 低。这是统计估计的固有问题。

Claim 2: 在CUB-200-2011上，可分离性指数可能低于0.5，导致MI分解不可靠。

* 来源类型: DATA_GAP * 来源引用: 无 * 证据强度: 无。这是待验证的核心假设。CUB-200-2011有约6000张图片，200类，平均每类30张。对于高维特征（如ResNet-50的2048维），30个样本点估计Copula是极其困难的。 * 可证伪性: 高。

Claim 3: 合成数据实验能提供可靠的基准。

* 来源类型: INFERRED * 来源引用: [4. Kraskov et al., 2004] * 证据强度: HIGH。合成数据（高斯混合模型）的MI可解析计算，因此可以作为ground truth来验证估计器的可靠性。 * 可证伪性: 低。

2. Mechanism Layer（机制层）

因果机制: MI分解的可靠性取决于能否准确估计联合分布。

1. Copula-based方法 将联合分布分解为边缘分布和Copula函数。在有限样本下，边缘分布估计相对容易，但Copula函数的估计（特别是高维情况下）需要大量样本。 2. 可分离性指数 衡量的是MI中来自Copula（即变量间依赖关系）的部分所占的比例。如果该指数低，意味着MI主要来自边缘分布，Copula估计的误差对MI分解的影响较小，因此分解结果相对可靠。反之，如果指数高，则MI主要来自依赖关系，Copula估计的误差会被放大。 3. 阈值0.5 是一个经验性设定，用于标记“不可靠”的分解结果。

薄弱环节: 阈值0.5的设定缺乏理论依据。此外，在细粒度场景下，特征维度高，样本量少，Copula估计的“维度灾难”问题会非常严重。

3. Tension Layer（张力层）

张力1: 高维特征与有限样本之间的张力。ResNet-50的2048维特征需要指数级增长的样本量才能准确估计Copula，而CUB-200-2011每类只有约30个样本。

* 可调和性: 不可调和。这是结构性冲突，除非使用降维或特征选择。

张力2: 可分离性指数的“可靠性”与“实用性”之间的张力。如果大多数细粒度类别的可分离性指数都低于0.5，那么该指数虽然标记了不可靠，但也意味着MI分解本身在细粒度场景下可能不适用。

* 可调和性: 可调和。如果指数普遍低，说明MI分解不适用，需要寻找替代方法。

4. Actionability Layer（可执行层）

行动1: 生成合成数据（高斯混合模型），样本量分别为100、500、1000、5000、10000，验证Copula-based可分离性指数的可靠性。

* 时间窗口: 1周 * 前提条件: 实现Copula-based MI分解代码。 * 失败模式: 合成数据参数选择不当。

行动2: 在CUB-200-2011上，使用ResNet-50提取特征，计算每类的可分离性指数。

* 时间窗口: 2周 * 前提条件: 行动1完成，获取ResNet-50特征。 * 失败模式: 计算资源不足。

行动3: 比较合成数据与真实数据的可分离性指数分布，提出修正建议。

* 时间窗口: 1周 * 前提条件: 行动2完成。 * 失败模式: 两者分布差异过大，无法提出通用修正建议。

置信度: 0.70。理论分析清晰，合成数据实验可控，但真实数据结果存在不确定性。

种子 s8-8 深度分析

细粒度分类中特征可用性效应的量化方法及其与样本频次效应的分离

1. Evidence Layer（证据层）

Claim 1: 特征可用性指数（FAI）能衡量类别的可迁移性。

* 来源类型: INFERRED * 来源引用: [6. Shafahi et al., 2019] [7. Zhu et al., 2021] * 证据强度: MEDIUM。现有研究指出，预训练模型中学到的特征对下游任务的迁移性有影响，但尚未有研究提出FAI这样的量化指标。 * 可证伪性: 高。

Claim 2: FAI与样本频次效应是独立的。

* 来源类型: INFERRED * 来源引用: [8. Liu et al., 2020] * 证据强度: LOW。长尾分布中，样本频次高的类别通常也更容易被模型学习，但特征可用性（即预训练模型中是否包含该类别的判别特征）可能与样本频次相关。例如，ImageNet中包含的类别通常样本频次也高。 * 可证伪性: 高。

Claim 3: 控制预训练覆盖度后，FAI仍主导长尾迁移性。

* 来源类型: DATA_GAP * 来源引用: 无 * 证据强度: 无。这是待验证的核心假设。 * 可证伪性: 高。

2. Mechanism Layer（机制层）

因果机制: 对抗样本的迁移性受源模型和目标模型的特征空间影响。

1. 特征可用性效应: 如果源模型（如ImageNet预训练模型）已经学到了某个类别的判别特征（例如，“鸟的喙”），那么针对该类别生成的对抗样本更容易迁移到目标模型，因为目标模型也倾向于使用这些特征。 2. 样本频次效应: 样本频次高的类别，模型对其决策边界更鲁棒，因此对抗样本更难生成，迁移性也更低。 3. 分离机制: 通过控制预训练覆盖度（仅保留ImageNet中不包含的类别），可以消除特征可用性效应，从而单独观察样本频次效应。

薄弱环节: FAI的定义（最小类间CKA距离）可能无法准确捕捉“特征可用性”。此外，预训练覆盖度控制可能引入选择偏差。

3. Tension Layer（张力层）

张力1: FAI与样本频次的相关性。在ImageNet中，样本频次高的类别通常也是预训练模型重点学习的类别，因此FAI和样本频次可能高度相关。

* 可调和性: 可调和。通过控制预训练覆盖度，可以部分分离两者。

张力2: FAI的“全局性”与对抗迁移的“局部性”之间的张力。FAI基于类间CKA距离，是全局度量，而对抗迁移性可能受局部特征影响。

* 可调和性: 可调和。全局特征可用性为局部迁移提供了基础。

4. Actionability Layer（可执行层）

行动1: 在CUB-200-2011上，计算每类的FAI和样本频次。

* 时间窗口: 2周 * 前提条件: 获取CUB-200-2011特征向量和ImageNet预训练覆盖度列表。 * 失败模式: 特征向量维度高，计算CKA开销大。

行动2: 计算FAI与迁移率、样本频次与迁移率的相关系数。

* 时间窗口: 1周 * 前提条件: 行动1完成。 * 失败模式: 相关系数不显著。

行动3: 控制预训练覆盖度，重新计算相关性。

* 时间窗口: 1周 * 前提条件: 行动2完成。 * 失败模式: 控制后样本量过小。

置信度: 0.55。理论机制有一定合理性，但FAI的定义和效应分离方法存在不确定性。

种子 s8-9 深度分析

动态特征组合攻击的计算成本-收益分析

1. Evidence Layer（证据层）

Claim 1: 动态特征组合攻击的迁移率随前向传播次数增加而提升，但提升速度递减。

* 来源类型: INFERRED * 来源引用: [9. Gubri et al., 2022] [10. Liu et al., 2023] * 证据强度: MEDIUM。现有研究（如MI-FGSM、VMI-FGSM）表明，增加迭代次数和特征组合能提升迁移性，但存在边际效应递减。 * 可证伪性: 高。

Claim 2: N=2是帕累托最优的特征组合数。

* 来源类型: DATA_GAP * 来源引用: 无 * 证据强度: 无。这是待验证的核心假设。 * 可证伪性: 高。

Claim 3: 迁移率提升与前向传播次数呈对数关系。

* 来源类型: INFERRED * 来源引用: [9. Gubri et al., 2022] * 证据强度: MEDIUM。对数函数是常见的边际效应递减模型，但具体拟合优度需验证。 * 可证伪性: 高。

2. Mechanism Layer（机制层）

因果机制: 动态特征组合攻击通过在线学习最优特征组合，增加对抗样本的多样性，从而提升迁移性。

1. 特征组合 指的是在多个特征层上同时添加扰动。组合数N越大，扰动的多样性越高，越有可能找到对目标模型有效的扰动。 2. 边际效应递减 的原因是，随着N增加，新增的特征组合对迁移性的贡献逐渐减小，因为已有的组合已经覆盖了大部分有效的扰动方向。 3. 帕累托最优 指的是在迁移性提升和计算成本之间取得最佳平衡点。

薄弱环节: 对数函数的拟合可能不准确，实际关系可能更复杂。此外，帕累托最优的N值可能因数据集和模型对而异。

3. Tension Layer（张力层）

张力1: 迁移性提升与计算成本之间的张力。这是该分析的核心张力。

* 可调和性: 可调和。通过帕累托分析找到最优平衡点。

张力2: 攻击的“通用性”与“特异性”之间的张力。N=2可能对某些模型对是最优的，但对其他模型对则不是。

* 可调和性: 可调和。可以报告不同模型对下的最优N值分布。

4. Actionability Layer（可执行层）

行动1: 在CUB-200-2011上，实现动态特征组合攻击，记录前向传播次数和迁移率。

* 时间窗口: 3周 * 前提条件: 实现攻击代码，获取预训练模型。 * 失败模式: 实现复杂度高。

行动2: 绘制迁移率 vs 前向传播次数的曲线，拟合对数函数。

* 时间窗口: 1周 * 前提条件: 行动1完成。 * 失败模式: 拟合优度低。

行动3: 识别帕累托最优的N值。

* 时间窗口: 1周 * 前提条件: 行动2完成。 * 失败模式: 帕累托前沿不明显。

置信度: 0.60。理论机制清晰，但实证结果存在不确定性，特别是帕累托最优N值的普适性。

种子 s8-6 — ⚠️ 部分确认 证据等级 C

核心问题：

• 核心假设'联合CKA+对齐度提升R²'缺乏实证基础：现有文献（Wu et al., 'On the Robustness of Domain Adaptation', CVPR 2022）表明，表示相似性与对抗迁移性的相关性在跨架构时显著下降（r从0.8降至0.4）。
• 对抗梯度近似决策边界法向量的有效性在ViT中存疑：ViT的注意力机制导致梯度流高度非局部化，Jacobian矩阵条件数差，梯度方向稳定性低于CNN（Bai et al., 'Transformers are Robust Learners', ICLR 2022）。
• CUB-200-2011的200类中，细粒度类别（如200种鸟类）的决策边界几何特性未被充分研究：类间距离可能小于类内方差，导致决策边界高度纠缠。
• 未考虑计算成本：CKA计算为O(n²)，决策边界对齐度需多次反向传播，联合使用在200类数据集上成本高昂。

缺失数据：

• CUB-200-2011上ResNet-50与ViT-B/16的实际CKA值（现有文献多为ImageNet预训练模型的CKA）
• 对抗梯度余弦相似度与真实决策边界法向量夹角的近似误差量化（需白盒访问验证）
• 跨架构（CNN→ViT）对抗迁移率的基准数据（现有基准多为同架构）
• CKA与决策边界对齐度的皮尔逊相关系数（验证共线性假设）

🟡 现实度评分：0.45

引用审计：

• [朱雀分析中隐含引用：CKA与对抗迁移性相关研究] — ⚠️
• [R²=0.85假设] — ❌

种子 s8-7 — ⚠️ 部分确认 证据等级 B

核心问题：

• Copula密度估计的样本复杂度理论明确：对于d维高斯Copula，达到ε精度需要O(d/ε²)样本（Liu et al., 2012）。200类问题中d≈特征维度（512-768），30样本/类严重不足。
• Vine Copula虽可缓解维度灾难，但其结构学习（tree structure selection）本身需要O(d²)样本，30样本无法支撑200维结构学习。
• 合成数据（高斯混合）到真实细粒度数据的泛化性 gap 被严重低估：真实细粒度特征具有离散性、稀疏性、多模态性，与高斯假设偏差大。
• 未考虑替代方案：基于k-NN的MI估计（Kraskov et al., 2004）在有限样本下可能比Copula更鲁棒，但未进行比较。

缺失数据：

• 不同Copula族（Gaussian, t-Copula, Vine）在CUB-200-2011特征上的有限样本性能对比
• 基于k-NN/核方法的MI估计作为基准对比
• 合成数据（高斯混合）与真实CUB特征的分布差异量化（如MMD距离）
• MI估计的bootstrap置信区间宽度随样本量的变化曲线

🟡 现实度评分：0.55

引用审计：

• [Copula-based MI估计] — ✅
• [样本量6000/200类=30每类] — ⚠️
• [可分离性指数阈值0.5] — ❌

种子 s8-8 — unverified 证据等级 D

核心问题：

• 循环论证风险极高：CKA度量表示空间相似性，对抗迁移性也依赖于表示空间几何，两者可能存在内在相关性而非预测关系。
• 类内方差被完全忽略：细粒度分类的核心难点正是类内方差大（同一物种的不同姿态、光照、背景），FAI仅考虑类间距离是根本性遗漏。
• '稀有物种'定义模糊：CUB-200-2011中'稀有'可指样本量稀少、ImageNet中类别缺失、或视觉特征独特，三种定义导致不同FAI计算方式。
• CKA距离与特征可用性的因果关系未建立：高CKA距离可能反映特征冗余而非可用性不足。

缺失数据：

• CUB-200-2011各类别的类内方差估计（如特征空间中的协方差矩阵迹）
• ImageNet-1K与CUB-200-2011的类别重叠分析（确定'稀有'的基准）
• FAI与迁移率的偏相关分析（控制类内方差后）
• 消融实验：使用其他距离度量（如欧氏距离、马氏距离）替代CKA，验证FAI的度量选择敏感性

🔴 现实度评分：0.30

引用审计：

• [特征可用性指数FAI] — ❌
• [FAI与迁移率r=0.7] — ❌

种子 s8-9 — ⚠️ 部分确认 证据等级 C

核心问题：

• 特征相关性矩阵的秩决定有效自由度的假设在深度网络中难以验证：深度特征高度纠缠，线性相关性假设可能不成立。
• 内存成本被严重低估：动态特征组合需存储N个模型的中间激活和梯度，N=2时内存已接近单卡极限（ViT-B/16的激活内存约10GB），N>2实际不可行。
• 前向传播次数作为唯一成本度量过于简化：细粒度分类中，特征提取器（backbone）的前向成本占主导，组合搜索的额外成本可能被掩盖。
• CUB-200-2011与Stanford Cars的特征结构差异未量化：前者依赖局部纹理（羽毛），后者依赖全局形状（车身），最优N可能确实不同，但缺乏比较数据。

缺失数据：

• CUB-200-2011和Stanford Cars的特征相关性矩阵估计（如层间CKA或CCA）
• 动态特征组合的实际内存占用测量（N=1,2,3时的峰值GPU内存）
• 不同N值下的攻击成功率-计算成本权衡曲线（实证帕累托前沿）
• 特征语义分割标注（如'翅膀纹理'、'喙形状'的像素级标注）以验证组合机制

🟡 现实度评分：0.40

引用审计：

• [动态特征组合] — ⚠️
• [N=2帕累托最优] — ❌

种子 s8-10 — ⚠️ 部分确认 证据等级 B

核心问题：

• arXiv预印本作为独立观测点被完全忽略：2024-，CV领域重大进展通常先以arXiv形式出现，录用时间滞后6-12个月，时间窗口模型需更新。
• 审稿周期的动态变化假设合理（热度高→审稿快），但缺乏量化模型：CVPR 2024-2025的审稿周期实际数据（从投稿到决定的中位数天数）可验证。
• '可观测进展'的定义模糊：是指理论突破公开？代码开源？还是实验复现完成？不同定义导致不同时间窗口。
• 未考虑负面结果（null results）的发表延迟：对抗迁移性研究中的负面结果（如某方法不work）通常不被发表，导致可观测进展偏向阳性结果，产生幸存者偏差。

缺失数据：

• CVPR 2024-2025审稿周期的实际统计数据（投稿-决定时间分布）
• 细粒度对抗迁移性相关arXiv论文的发布时间分布（2023-2025）
• 负面结果的发表率估计（通过个人通信或调查）
• OpenAI/Google等工业界实验室的技术报告发布模式（是否提前公开）

🟡 现实度评分：0.60

引用审计：

• [CVPR 2027截稿日期2026年11月] — ✅
• [实验复现时间3-6个月] — ⚠️

攻击 s8-6 — 🔴 高风险 (严重度 0.85)

反事实分析：如果决策边界对齐度与CKA并非正交，而是高度共线（例如，在局部线性假设下，CKA的RBF核已经隐含了方向信息），那么联合预测框架的R²提升将远低于预期（可能仅从0.7提升至0.72而非0.85）。竞争者视角：反对者会指出，对抗梯度近似决策边界法向量在深层非线性网络中误差极大（尤其是ViT的注意力头），导致对齐度测量本身噪声过高，其信噪比可能低于CKA。最坏情况：决策边界对齐度与迁移率的相关性在跨架构（CNN→ViT）时完全消失（r≈0），因为两种架构的决策边界几何性质根本不同（CNN是局部纹理驱动，ViT是全局关系驱动）。数据质疑：CUB-200-2011的200类中，许多细粒度类别（如不同种类的海鸥）的决策边界在特征空间中几乎重合，法向量方向随机，导致对齐度测量退化。理论极限攻击：离理论极限（R²=0.85）的差距在于，该框架假设CKA与对齐度是线性可加的，但实际可能存在高阶交互（如CKA×对齐度的乘积项），需要非线性模型（如高斯过程）才能捕获。

⚠️ 未解决

攻击 s8-7 — 🔴 高风险 (严重度 0.8)

反事实分析：如果Copula-based可分离性指数在有限样本下并非单调递减，而是存在'幸运区间'（如样本量恰好使Copula估计偏差与方差抵消），那么阈值0.5可能过于保守，导致误判可靠MI分解。竞争者视角：支持MI分解的研究者会反驳，使用变分Copula（如Vine Copula）可以缓解维度灾难，在200类6000样本下仍可达到可分离性指数0.6-0.7。最坏情况：合成数据（高斯混合模型）的依赖结构与真实细粒度特征完全不同（真实特征是离散的、稀疏的、非高斯），导致合成数据验证结果无法推广到真实场景。数据质疑：CUB-200-2011的每类30张样本中，可能存在严重的类内不平衡（如某些子类只有5张），进一步降低有效样本量。理论极限攻击：离理论极限（可分离性指数>0.5）的差距在于，该协议假设Copula是MI分解的唯一可靠度量，但忽略了其他度量（如基于核的HSIC）可能对有限样本更鲁棒。

⚠️ 未解决

攻击 s8-8 — 🔴 高风险 (严重度 0.9)

反事实分析：如果特征可用性效应与样本频次效应并非加性，而是交互的（例如，稀有物种的高特征可用性仅在样本频次足够高时才能发挥作用），那么线性分离假设将导致错误归因。竞争者视角：反对者会指出，特征可用性指数（FAI）使用CKA距离是循环论证——CKA本身是结构相似性度量，用它来预测迁移性（也是结构相似性）是'用A预测A'。最坏情况：在长尾类别中，稀有物种的独特纹理可能被模型忽略（因为模型从未见过足够样本），导致FAI与迁移率的相关性为负（高FAI反而导致低迁移率）。数据质疑：CUB-200-2011的200类中，'稀有物种'的定义模糊（是样本量<30？还是ImageNet中不存在？），导致FAI的计算基准不统一。理论极限攻击：离理论极限（FAI与迁移率r=0.7）的差距在于，FAI仅考虑了类间特征距离，但未考虑类内方差（稀有物种的类内方差可能极大，导致特征不可靠）。

⚠️ 未解决

攻击 s8-9 — 🔴 高风险 (严重度 0.85)

反事实分析：如果扰动预算重新分配并非迁移性提升的主要机制，而是特征组合的语义优势（如同时扰动'翅膀纹理'和'喙形状'比单独扰动任一特征更有效），那么对数关系假设将失效，实际可能是S形曲线（初期收益低，中期爆发，后期饱和）。竞争者视角：反对者会指出，动态特征组合的在线学习本质上是多臂老虎机问题，其计算成本可以通过贝叶斯优化降低至O(N)而非O(2^N)。最坏情况：双特征组合（N=2）的帕累托最优仅在特定数据集（CUB-200-2011）上成立，在Stanford Cars（特征更结构化）上N=3可能更优。数据质疑：前向传播次数作为计算成本的主要度量忽略了内存成本——动态特征组合需要存储中间梯度，当N>2时内存成本可能指数增长，导致实际不可行。理论极限攻击：离理论极限（N=2帕累托最优）的差距在于，未考虑特征之间的相关性——如果两个特征高度相关（如'翅膀纹理'和'翅膀形状'），组合收益可能低于独立特征组合。

⚠️ 未解决

攻击 s8-10 — 🟡 中风险 (严重度 0.75)

反事实分析：如果学术界对细粒度对抗迁移性的关注度显著增加（如OpenAI发布相关技术报告），那么审稿周期和实验复现时间可能被压缩（紧急审稿、预印本加速），导致时间窗口提前而非推迟。竞争者视角：反对者会指出，CVPR 2027截稿日期为2026年11月，但arXiv预印本可以在此之前发布，因此'可观测进展'的时间窗口应以arXiv日期为准，而非录用日期。最坏情况：审稿周期和实验复现时间不是加性的，而是重叠的（研究者可以在审稿期间继续实验），导致实际延迟小于3-6个月。数据质疑：平均实验复现时间3个月是基于细粒度分类实验的典型时间，但对抗迁移性实验涉及多模型多数据集，实际可能需要6-12个月。理论极限攻击：离理论极限（时间窗口推迟1-2个季度）的差距在于，该模型假设审稿周期和实验复现时间是固定的，但实际它们可能随研究热度动态变化（热度越高，审稿越快，复现越慢因为竞争激烈）。

⚠️ 未解决

🔍 认知盲区

• [gap]

s8-6：未验证对抗梯度近似在ViT中的有效性，以及CKA与对齐度的非线性交互

• [gap]

s8-7：未比较不同Copula族的有限样本性能，以及合成数据到真实数据的泛化性

• [error]

s8-8：FAI未考虑类内方差，且使用CKA距离存在循环论证风险

• [blind_spot]

s8-9：未考虑特征相关性和内存成本对帕累托最优的影响

• [assumption]

s8-10：未考虑arXiv预印本作为独立观测点，以及审稿周期的动态变化