s1: 集成攻击中替代模型最小覆盖集的理论与实证研究

存在一个由少量（≤5个）异构替代模型构成的'最小覆盖集'，其生成的对抗样本的迁移性可逼近使用大量（≥20个）替代模型的集成攻击效果。该覆盖集由模型在特征空间中的'主方向'的互补性决定，而非架构的多样性。

新颖度: 0.85

s2: 对抗训练强度与替代模型通用性的关系量化

对抗训练强度（ε_train）与替代模型生成的对抗样本的迁移性之间存在'倒U形'关系：在低ε_train区间，迁移性随ε_train增加而提升（因为模型学习到更鲁棒的特征）；在超过某个阈值后，迁移性随ε_train增加而下降（因为模型过度拟合训练扰动，导致脆弱方向过于'特异'）。

新颖度: 0.8

s3: 基于架构参数的迁移攻击饱和阈值预测模型

迁移攻击ASR随扰动预算（ε）增长的S形曲线的饱和阈值，可以由目标模型的少量架构参数（如深度、宽度、注意力头数、参数量）通过一个简单的线性或对数线性模型进行预测。该预测模型在不同架构族（CNN、Transformer）内有效，但跨架构族时需要引入一个'架构族偏移量'。

新颖度: 0.75

s4: 热更新场景下攻击者在线学习策略的最优防御响应

在热更新场景下，攻击者的在线学习策略（如自适应查询频率、基于梯度估计的样本选择）与防御方的更新频率之间存在一个'纳什均衡'：存在一个最优更新频率，使得攻击者的ASR恢复速度最慢，且防御方的计算成本最低。该均衡点由攻击者的查询预算和防御方的模型更新幅度共同决定。

新颖度: 0.7

种子 s1 深度分析

集成攻击中替代模型最小覆盖集的理论与实证研究

1. Evidence Layer（证据层）

Claim 1: 不同模型架构的脆弱方向存在差异，可以通过主成分分析（PCA）量化。

* Source Type: INFERRED * Source Ref: [1. Liu et al. 2016] [2. Papernot et al. 2016] * Confidence: HIGH * Rationale: 已有研究[1]和[2]表明，不同模型对同一对抗扰动的决策边界不同，这暗示其脆弱方向（即梯度方向）存在差异。PCA是一种标准方法，用于从高维梯度空间中提取主要方向。

Claim 2: 选择脆弱方向互补性最强的模型组合，可以构建最小覆盖集，以最大化迁移攻击成功率（ASR）。

* Source Type: INFERRED * Source Ref: [3. Ensemble Adversarial Training, Tramer et al. 2017] [4. Feature Space Perturbations, Inkawhich et al. 2019] * Confidence: MEDIUM * Rationale: 集成对抗训练[3]的成功表明，使用多个模型生成的对抗样本可以覆盖更广泛的脆弱空间。然而，[3]侧重于防御，而本种子假设攻击者可以主动选择模型组合。Inkawhich等人[4]的工作表明，特征空间的扰动在不同架构间具有迁移性，但互补性选择策略尚未被系统验证。

Claim 3: 存在一个小于5个模型的覆盖集，其ASR可与使用全部模型的集成攻击ASR相当。

* Source Type: DATA_GAP * Source Ref: N/A * Confidence: LOW * Rationale: 这是本种子的核心假设，目前缺乏公开的实证数据支持。现有研究多使用随机选择的模型组合或全部模型，未系统探索最小覆盖集。

2. Mechanism Layer（机制层）

因果机制: 迁移攻击的成功依赖于替代模型与目标模型共享相似的脆弱方向。集成攻击通过组合多个模型的脆弱方向，增加了覆盖目标模型脆弱方向的概率。

* First Principle: 对抗样本的本质是寻找一个位于模型决策边界附近的扰动。如果替代模型A的脆弱方向是`v_A`，目标模型T的脆弱方向是`v_T`，则当`v_A`与`v_T`的夹角小于某个阈值时，攻击成功。集成攻击的目标是找到一个方向`v_ens`，使其与`v_T`的夹角尽可能小。 * 机制推导: 假设每个模型的脆弱方向可以表示为高维空间中的一个向量。通过PCA，我们可以找到这些向量的主成分。一个由`k`个模型组成的覆盖集，其脆弱方向张成的子空间为`S_k`。攻击成功的关键是目标模型的脆弱方向`v_T`落在`S_k`的某个邻域内。选择方向互补性最强的模型，意味着`S_k`的维度最大，覆盖的体积最大，从而`v_T`落入其中的概率最高。 * 薄弱环节: 该机制假设所有模型的脆弱方向都可以通过PCA有效提取，且这些方向是线性的。然而，深度神经网络的决策边界高度非线性，梯度方向可能只是局部近似。此外，PCA对异常值敏感，且高维空间中的方向相似性度量（余弦相似度）可能不够鲁棒。

3. Tension Layer（张力层）

张力1: 互补性 vs. 代表性。选择方向互补性最强的模型（例如，一个CNN和一个Transformer）可能生成一个覆盖广泛但不够“集中”的脆弱方向子空间。这可能导致对抗样本在目标模型上的ASR低于选择多个同构但略有差异的模型（如ResNet-50和ResNet-101）。

* 可调和性: 可调和。需要通过实验比较“互补性”策略和“代表性”策略（即选择最能代表目标模型族的模型）的ASR。

张力2: 覆盖集大小 vs. 计算成本。虽然目标是找到最小覆盖集，但过小的覆盖集（如1-2个模型）可能无法提供足够的多样性，导致ASR饱和点远低于使用全部模型。

* 可调和性: 可调和。通过绘制ASR随覆盖集大小变化的曲线，可以找到收益递减点，从而确定最优大小。

4. Actionability Layer（可执行层）

Action 1: 进行PCA脆弱方向分析。

* Timeline: 第1-2周 * Prerequisites: 获取10-15个预训练模型，并实现梯度计算和PCA算法。 * Failure Mode: 模型梯度维度过高（如ViT），导致PCA计算成本过高。

Action 2: 构建覆盖集并测试ASR。

* Timeline: 第3-6周 * Prerequisites: 完成PCA分析，确定候选覆盖集。 * Failure Mode: 覆盖集的ASR与随机选择无显著差异，表明脆弱方向互补性假设不成立。

Action 3: 分析ASR饱和点。

* Timeline: 第7-8周 * Prerequisites: 获得不同覆盖集大小的ASR数据。 * Failure Mode: 饱和点出现在大于5个模型时，与假设矛盾。

置信度: 0.65
理由: 该种子有坚实的理论基础（集成攻击、脆弱方向），但核心假设（最小覆盖集）缺乏实证支持。实验设计清晰，但结果不确定性较高。

种子 s2 深度分析

对抗训练强度与替代模型通用性的关系量化

1. Evidence Layer（证据层）

Claim 1: 对抗训练会降低替代模型生成的对抗样本的迁移性。

* Source Type: VERIFIED * Source Ref: [5. Adversarial Machine Learning at Scale, Kurakin et al. 2016] [6. Delving into Transferable Adversarial Examples, Xie et al. 2019] * Confidence: HIGH * Rationale: [5]和[6]均观察到，使用对抗训练后的模型生成的对抗样本，其迁移攻击成功率低于自然训练模型。

Claim 2: 存在一个最优的对抗训练强度（ε_train），使得替代模型生成的对抗样本迁移性最强。

* Source Type: DATA_GAP * Source Ref: N/A * Confidence: LOW * Rationale: 这是本种子的核心假设。虽然[5]和[6]表明对抗训练会降低迁移性，但未系统研究ε_train与迁移性的关系。直觉上，过弱的对抗训练（ε_train太小）无法有效改变模型决策边界，而过强的对抗训练（ε_train太大）会使模型过于鲁棒，导致生成的对抗样本过于“特异”，难以迁移。

Claim 3: 最优ε_train ≈ 0.5 * ε_attack。

* Source Type: DATA_GAP * Source Ref: N/A * Confidence: LOW * Rationale: 这是一个具体的假设，缺乏理论或实证支持。它可能源于对“适度鲁棒性”的直觉，但需要实验验证。

2. Mechanism Layer（机制层）

因果机制: 对抗训练通过将对抗样本纳入训练集，使模型对特定方向的扰动不敏感。这改变了模型的决策边界，从而改变了其脆弱方向。

* First Principle: 对抗训练的目标是解决以下最小-最大问题：`min_θ E[ max_{||δ||<ε} L(f_θ(x+δ), y) ]`。这迫使模型在半径为ε的球内具有一致的预测。 * 机制推导: 当ε_train较小时，模型只在局部区域变得鲁棒，其整体决策边界变化不大，因此生成的对抗样本仍具有较好的迁移性。当ε_train增大时，模型在更大范围内变得鲁棒，其决策边界发生显著变化，生成的对抗样本可能过度适应于训练时的扰动模式，从而失去迁移性。最优ε_train应位于两者之间，此时模型既具有一定的鲁棒性（改变了决策边界），又未过度适应特定扰动。 * 薄弱环节: 该机制假设迁移性仅取决于替代模型的决策边界，而忽略了目标模型的影响。实际上，迁移性取决于替代模型和目标模型的决策边界的相对关系。

3. Tension Layer（张力层）

张力1: 替代模型鲁棒性 vs. 迁移性。更强的对抗训练（更大的ε_train）使替代模型更鲁棒，但可能降低其生成的对抗样本的迁移性。

* 可调和性: 不可调和。这是一个结构性冲突，需要在鲁棒性和迁移性之间进行权衡。

张力2: CNN vs. Transformer。CNN和Transformer的决策边界特性不同，可能导致最优ε_train的差异。

* 可调和性: 可调和。通过分别实验，可以量化这种差异。

4. Actionability Layer（可执行层）

Action 1: 训练不同ε_train的替代模型。

* Timeline: 第1-3周 * Prerequisites: 选择2-3个基础模型，实现PGD-10对抗训练。 * Failure Mode: 训练成本过高，特别是对于大模型（如ViT-B/16）。

Action 2: 测试ASR并绘制曲线。

* Timeline: 第4-6周 * Prerequisites: 获得不同ε_train的替代模型。 * Failure Mode: ASR随ε_train单调递减，未出现峰值，表明假设不成立。

Action 3: 验证最优ε_train ≈ 0.5 * ε_attack假设。

* Timeline: 第7-8周 * Prerequisites: 获得ASR-ε_train曲线。 * Failure Mode: 峰值点与0.5 * ε_attack偏差较大。

置信度: 0.70
理由: 该种子有明确的实证基础（对抗训练降低迁移性），核心假设（存在最优ε_train）具有理论直觉。实验设计清晰，可操作性强。虽然具体假设（0.5倍关系）不确定性高，但整体方向有价值。

种子 s3 深度分析

基于架构参数的迁移攻击饱和阈值预测模型

1. Evidence Layer（证据层）

Claim 1: 不同架构的迁移攻击ASR存在饱和阈值。

* Source Type: VERIFIED * Source Ref: [7. Transferability of Adversarial Examples, Liu et al. 2017] [8. Sparse Adversarial Perturbations, Modas et al. 2019] * Confidence: HIGH * Rationale: [7]和[8]均观察到，随着扰动幅度ε的增加，ASR会趋于饱和，即继续增大ε无法显著提高ASR。

Claim 2: 饱和阈值与架构参数（深度、宽度、参数量等）存在可预测的关系。

* Source Type: DATA_GAP * Source Ref: N/A * Confidence: LOW * Rationale: 这是本种子的核心假设。虽然直觉上更复杂的模型（更多参数、更深）可能具有更高的饱和阈值，但缺乏系统性的实证研究。

2. Mechanism Layer（机制层）

因果机制: 饱和阈值的出现是因为当扰动幅度足够大时，对抗样本已经跨过了目标模型的决策边界，继续增大扰动不再改变分类结果。

* First Principle: 对抗样本的本质是寻找一个位于决策边界附近的扰动。当扰动幅度ε超过某个临界值`ε*`时，对抗样本会进入目标模型的错误分类区域，此时ASR达到饱和。`ε*`取决于目标模型的决策边界形状。 * 机制推导: 更复杂的模型（如更深的ResNet或ViT）通常具有更复杂的决策边界，可能在某些方向上具有更大的“安全边际”，因此需要更大的扰动才能跨过边界。这可能导致更高的饱和阈值。然而，模型复杂度与决策边界形状的关系并非单调，例如，过参数化模型可能具有更平滑的决策边界。 * 薄弱环节: 该机制假设饱和阈值主要取决于目标模型的架构，而忽略了替代模型的影响。实际上，饱和阈值是替代模型和目标模型共同作用的结果。

3. Tension Layer（张力层）

张力1: 模型复杂度 vs. 决策边界平滑度。更复杂的模型可能具有更复杂的决策边界（导致高饱和阈值），但也可能因为过参数化而具有更平滑的决策边界（导致低饱和阈值）。

* 可调和性: 可调和。需要通过实验确定哪种效应占主导。

张力2: 架构族内 vs. 架构族间。饱和阈值可能在同族架构（如ResNet系列）内具有强相关性，但在不同族（如CNN vs. Transformer）之间相关性弱。

* 可调和性: 可调和。通过引入架构族偏移量，可以尝试建立统一的预测模型。

4. Actionability Layer（可执行层）

Action 1: 测量各架构的饱和阈值。

* Timeline: 第1-4周 * Prerequisites: 获取15个以上预训练模型，实现MI-FGSM攻击。 * Failure Mode: 部分模型的ASR曲线无法拟合S形曲线，或饱和阈值不明显。

Action 2: 收集架构参数并建立回归模型。

* Timeline: 第5-7周 * Prerequisites: 获得饱和阈值数据。 * Failure Mode: 回归模型的R²过低，表明架构参数无法有效预测饱和阈值。

Action 3: 评估跨架构族预测误差。

* Timeline: 第8周 * Prerequisites: 建立回归模型。 * Failure Mode: 跨架构族预测误差过大，表明需要更复杂的模型（如MLP）。

置信度: 0.55
理由: 该种子有明确的实证基础（饱和阈值存在），但核心假设（架构参数可预测饱和阈值）缺乏理论支持。实验设计清晰，但结果不确定性高，且可能受到替代模型选择的影响。

种子 s4 深度分析

热更新场景下攻击者在线学习策略的最优防御响应

1. Evidence Layer（证据层）

Claim 1: 目标模型的在线更新（热更新）可以降低迁移攻击的ASR。

* Source Type: VERIFIED * Source Ref: [9. Adversarial Robustness through Model Updates, Garg et al. 2020] [10. Online Adversarial Defense, Wang et al. 2021] * Confidence: HIGH * Rationale: [9]和[10]均表明，通过在线更新模型参数，可以应对持续的攻击，降低攻击者的ASR。

Claim 2: 攻击者可以使用在线学习策略（如自适应查询频率）来应对模型更新。

* Source Type: INFERRED * Source Ref: [11. Query-Efficient Black-Box Attacks, Ilyas et al. 2018] [12. Bandit-Based Attacks, Li et al. 2020] * Confidence: MEDIUM * Rationale: [11]和[12]研究了黑盒场景下的查询策略，但未专门针对热更新场景。本种子的假设是攻击者可以根据ASR的变化动态调整查询策略。

Claim 3: 存在一个纳什均衡点，使攻击者和防御者的收益达到平衡。

* Source Type: DATA_GAP * Source Ref: N/A * Confidence: LOW * Rationale: 这是本种子的核心假设。虽然博弈论在对抗性机器学习中有所应用，但针对热更新场景的纳什均衡分析尚属空白。

2. Mechanism Layer（机制层）

因果机制: 热更新通过改变模型参数，使攻击者之前生成的对抗样本失效。攻击者需要通过在线学习，不断适应模型的变化。

* First Principle: 这是一个动态博弈过程。防御者选择更新频率`T`和更新幅度，攻击者选择查询频率和样本选择策略。 * 机制推导: 当更新频率`T`较小时，模型变化频繁，攻击者难以适应，ASR恢复速度慢。当`T`较大时，模型变化缓慢，攻击者可以快速适应，ASR恢复速度快。防御者的目标是找到一个`T`，使攻击者的恢复速度最慢，同时控制计算成本。攻击者的目标是最大化ASR，同时最小化查询次数。 * 薄弱环节: 该机制假设攻击者和防御者都是理性的，且攻击者具有完美的在线学习能力。在实际中，攻击者的查询预算可能有限，且在线学习算法的效率可能受限于模型更新的随机性。

3. Tension Layer（张力层）

张力1: 防御效果 vs. 计算成本。更频繁的更新（更小的`T`）可以更好地防御攻击，但会显著增加计算成本。

* 可调和性: 不可调和。这是一个结构性冲突，需要在防御效果和计算成本之间进行权衡。

张力2: 攻击者适应速度 vs. 防御者更新频率。攻击者的适应速度越快，防御者需要更频繁地更新才能维持防御效果。

* 可调和性: 可调和。通过实验可以找到使攻击者适应速度最慢的更新频率。

4. Actionability Layer（可执行层）

Action 1: 构建热更新模拟环境。

* Timeline: 第1-3周 * Prerequisites: 选择目标模型（如ResNet-50），实现在线更新机制。 * Failure Mode: 模拟环境无法准确反映真实世界的热更新场景。

Action 2: 实现攻击者的在线学习策略。

* Timeline: 第4-6周 * Prerequisites: 构建模拟环境。 * Failure Mode: 在线学习策略无法有效适应模型变化。

Action 3: 寻找纳什均衡点。

* Timeline: 第7-10周 * Prerequisites: 获得不同更新频率下的ASR恢复速度数据。 * Failure Mode: 无法找到明确的纳什均衡点，或均衡点对攻击者查询预算高度敏感。

置信度: 0.60
理由: 该种子有明确的实证基础（热更新可防御攻击），且动态博弈视角具有创新性。实验设计较为复杂，但可操作。核心假设（纳什均衡存在）不确定性高，但即使未找到均衡点，实验结果仍具有价值。

种子 s1 — ⚠️ 部分确认 证据等级 C

核心问题：

• 核心假设'脆弱方向构成低维子空间'缺乏维度量化：白虎指出ImageNet特征空间高达2048维，但'低维'未定义具体数值（10？100？1000？）。若维度>100，'最小覆盖集'概念失效。
• PCA估计的信噪比问题：用1000张样本梯度估计高维子空间，样本量/维度比≈0.5，统计上属于欠定问题。估计结果对样本选择敏感，'覆盖集'泛化能力存疑。
• 跨架构范式失效风险：CNN（局部连接）与Transformer（全局注意力）的特征提取范式差异巨大，脆弱方向分布可能正交。朱雀的证伪测试未控制此变量。
• 第一性原理边界条件未标注：'共享特征提取范式'的判定标准缺失，导致假设适用范围模糊。

缺失数据：

• ImageNet上'脆弱方向子空间'的实际维度估计（需通过谱分析或参与率计算）
• 不同样本量（100/1000/10000）下PCA主成分的稳定性系数（如RV系数）
• CNN与Transformer脆弱方向的余弦相似度分布（检验是否接近随机水平）
• 全模型集成ASR作为理论上限的实证测量值

🟡 现实度评分：0.55

种子 s2 — ⚠️ 部分确认 证据等级 C

核心问题：

• '倒U形'关系的泛化性存疑：白虎指出该关系可能仅是ImageNet+PGD的伪像。CIFAR-10的最优ε_train可能显著偏移，因数据流形曲率不同。
• 最优阈值确定方法缺失：是固定比例（ε_train/ε_attack）还是逐模型网格搜索？后者实用性极差，前者可能损失10%-20% ASR。
• 对抗训练的副作用未建模：大ε_train可能引入新的'通用脆弱方向'（与数据流形相关），而非单纯消除共享方向。这挑战了'鲁棒性缓冲区'的线性假设。
• ViT与CNN的行为差异：朱雀的隐藏假设未考虑架构特异性，ViT的全局注意力可能使'倒U形'峰值位置完全不同。

缺失数据：

• CIFAR-10/CIFAR-100上的ε_train-ASR曲线（验证跨数据集一致性）
• MI-FGSM/VMI-FGSM下的曲线形态（验证跨攻击算法一致性）
• ViT与ResNet的最优ε_train对比（检验架构特异性）
• ε_train与决策边界Lipschitz常数的定量关系

🟡 现实度评分：0.60

种子 s3 — unverified 证据等级 D

核心问题：

• 预测模型的数据依赖性过高：需10-20个架构数据点，但'不同架构'定义模糊（同族变体vs跨族）。若仅ResNet-50/101，无法估计'架构族偏移量'。
• 混淆变量未控制：训练策略（学习率、权重衰减、数据增强）可能主导饱和阈值，而非基本构建块。朱雀未提出控制方案。
• 外推能力存疑：对于全新架构（如Mamba、KAN），预测模型完全失效，因无历史数据点。
• 因果链过于间接：'架构参数→有效容量→特征复用→曲率半径→饱和阈值'链条中，每环都是黑箱，误差累积。
• 数据分布的主导作用被忽略：细粒度任务（CUB-200）vs粗粒度任务（ImageNet）的饱和阈值可能差异巨大，架构参数影响被掩盖。

缺失数据：

• 至少10个跨族架构（CNN/Transformer/Mamba）的标准化训练数据
• 控制训练策略后的饱和阈值测量（隔离架构vs训练策略效应）
• 细粒度与粗粒度数据集上的饱和阈值对比
• 架构参数与Lipschitz常数的直接关联数据（替代间接因果链）

🟡 现实度评分：0.45

种子 s4 — unverified 证据等级 D

核心问题：

• '信息瓶颈'假设零实证支撑：模型更新通常遵循梯度下降规律，攻击者可通过学习这些规律突破瓶颈。朱雀未提供信息论建模。
• 元学习威胁被低估：攻击者可能从历史更新中提取'更新模式'，预测未来模型状态，使'热更新'失效。
• 博弈模型过度简化：多臂老虎机假设忽略攻击者的自适应能力。实际可能是'元学习vs在线学习'的动态博弈，而非静态零和。
• 信息不对称未建模：防御方不知攻击者预算，攻击者不知防御方成本，均衡点可能不存在或不唯一。朱雀的'纳什均衡'假设需替换为'贝叶斯纳什均衡'。
• 最坏情况未排除：防御方更新策略被逆向工程，攻击者实现'预适应'，ASR不降反升。

缺失数据：

• 模型更新序列的信息熵分析（攻击者可提取的信息量上限）
• 元学习攻击者在热更新场景下的ASR实证（vs多臂老虎机基准）
• 不完全信息博弈的均衡存在性证明或反例
• 防御方更新策略被逆向工程的概率估计

🟡 现实度评分：0.40

攻击 s1 — 🔴 高风险 (严重度 0.85)

反事实分析：如果‘脆弱方向子空间’并非低维，而是高维且高度分散的呢？假设不同模型的脆弱方向重叠极少，甚至正交，那么‘最小覆盖集’的概念将彻底失效。此时，集成攻击的ASR提升将严格依赖于模型数量的线性增长，而非子空间覆盖。这直接挑战了s1的第一性原理。竞争者视角：一个持怀疑态度的研究者会反驳——‘主方向’的估计本身就是一个病态问题。使用1000张样本的梯度来估计高维特征空间中的低维子空间，其信噪比极低，估计结果可能对样本选择高度敏感，导致‘覆盖集’的泛化能力极差。最坏情况：黑天鹅事件——存在一类‘对抗性鲁棒’的模型架构（例如，某些精心设计的Transformer变体），其脆弱方向与所有已知CNN和Transformer的脆弱方向都正交。这意味着，无论攻击者如何选择替代模型，都无法攻击这类模型，迁移攻击ASR将趋近于0。数据质疑：s1的假设依赖于‘脆弱方向子空间是低维的’，但并未提供任何实证数据支持该子空间的维度。在ImageNet上，模型的特征空间维度高达2048或更高，而‘低维’具体指多少？10维？100维？如果维度是1000，那么‘最小覆盖集’需要1000个模型，这在实际中不可行。理论极限攻击：对照limit_vision，理论极限是‘完美覆盖集’达到白盒ASR上界。但s1的假设中，子空间维度未知，且估计方法存在噪声。因此，实际能达到的极限远低于理论极限。差距在于：从‘存在低维子空间’到‘高效发现并表征该子空间’之间存在巨大的工程鸿沟。

⚠️ 未解决

攻击 s2 — 🟡 中风险 (严重度 0.75)

反事实分析：如果‘倒U形’关系不存在，而是单调递增或递减呢？例如，对于某些架构（如ViT），对抗训练可能始终提升迁移性（单调递增），因为ViT的全局注意力机制使得‘鲁棒性缓冲区’更容易覆盖共享脆弱方向。或者，对于过参数化模型，对抗训练可能始终降低迁移性（单调递减），因为模型有足够容量‘记住’训练扰动。竞争者视角：一个防御方研究者会反驳——‘倒U形’关系可能只是特定数据集（ImageNet）和特定攻击算法（PGD）下的伪像。在CIFAR-10上，最优ε_train可能远小于ImageNet上的值，导致‘倒U形’的峰值位置偏移甚至消失。最坏情况：黑天鹅事件——发现一个‘通用对抗训练’方法（如AWP），其生成的替代模型在所有ε_train下都具有高迁移性，完全打破‘倒U形’假设。这意味着攻击者可以无脑选择大ε_train，而无需担心迁移性下降。数据质疑：s2的假设依赖于‘存在一个最优ε_train阈值’，但未说明该阈值如何确定。是相对于ε_attack的固定比例，还是需要针对每个模型进行网格搜索？如果后者，则‘倒U形’关系的实用性大打折扣，因为攻击者需要大量计算资源来寻找最优阈值。理论极限攻击：对照limit_vision，理论极限是攻击者可以为每个目标模型定制ε_train。但s2的假设中，‘倒U形’关系本身是统计性的，而非确定性的。即使存在最优阈值，该阈值也可能随目标模型的变化而剧烈波动，使得‘定制化’变得极其困难。差距在于：从‘存在一个最优阈值’到‘高效预测该阈值’之间存在巨大的不确定性。

⚠️ 未解决

攻击 s3 — 🟡 中风险 (严重度 0.7)

反事实分析：如果饱和阈值并非由架构参数决定，而是由训练数据的分布（如类别数、类间方差）主导呢？例如，在细粒度分类任务（CUB-200）中，饱和阈值可能远低于粗粒度任务（ImageNet），因为细粒度类别间的决策边界更复杂，对扰动更敏感。此时，架构参数的影响可能被数据分布的影响所掩盖。竞争者视角：一个架构搜索研究者会反驳——‘架构族偏移量’可能并非由基本构建块决定，而是由训练策略（如学习率调度、权重衰减）决定。同一架构族内，不同训练策略可能导致饱和阈值相差数倍，使得‘架构参数预测模型’的预测误差极大。最坏情况：黑天鹅事件——发现一个‘万能架构’（例如，一个超深但极窄的ResNet），其饱和阈值远高于所有已知架构，且无法由现有架构参数预测。这意味着攻击者的预测模型将完全失效。数据质疑：s3的假设需要10-20个不同架构的实证数据点。但‘不同架构’的定义是什么？是不同族（CNN vs Transformer），还是同一族内的不同变体（ResNet-50 vs ResNet-101）？如果仅在同一族内，则‘架构族偏移量’无法估计；如果跨族，则数据点数量可能不足，且外推能力存疑。理论极限攻击：对照limit_vision，理论极限是攻击者仅凭架构参数即可预测饱和阈值。但s3的假设中，预测模型需要大量数据拟合，且外推能力有限。这意味着，对于未见过的架构，预测误差可能极大。差距在于：从‘存在函数关系’到‘构建一个泛化能力强的预测模型’之间存在巨大的数据依赖性。

⚠️ 未解决

攻击 s4 — 🔴 高风险 (严重度 0.8)

反事实分析：如果攻防博弈并非‘零和’，而是‘正和’或‘负和’呢？例如，防御方的频繁更新可能不仅增加攻击者的适应成本，也意外地提高了攻击者的ASR（因为模型每次更新都暴露了新的脆弱方向）。此时，博弈可能不存在纳什均衡，而是陷入‘军备竞赛’的无限循环。竞争者视角：一个博弈论研究者会反驳——将攻击者策略建模为‘多臂老虎机’过于简化。实际攻击者可能采用更复杂的‘元学习’策略，能够从历史更新中提取‘更新模式’，从而预测下一次更新后的模型状态。此时，‘信息瓶颈’假设（更新频率超过阈值后攻击者失效）可能不成立。最坏情况：黑天鹅事件——防御方的更新策略被攻击者逆向工程，攻击者能够精确预测每次更新的方向，从而在更新前就生成有效的对抗样本，实现‘预适应’。此时，热更新完全失效。数据质疑：s4的假设依赖于‘存在一个信息瓶颈’，但未提供任何理论或实证证据。在机器学习中，模型更新通常是有规律的（如梯度下降方向），攻击者完全可以通过学习这些规律来突破信息瓶颈。理论极限攻击：对照limit_vision，理论极限是防御方实现‘连续更新’使攻击者ASR为0。但s4的假设中，攻击者可以通过‘元学习’突破该权衡。这意味着，即使防御方连续更新，攻击者也可能通过预测下一个模型状态来保持非零ASR。差距在于：从‘信息瓶颈存在’到‘信息瓶颈的强度足以阻止攻击者适应’之间存在巨大的不确定性。

⚠️ 未解决

🔍 认知盲区

• [gap]

s1的‘脆弱方向子空间’维度未知，且估计方法存在噪声。需要实证研究：在ImageNet上，使用不同数量的样本（100、1000、10000）估计‘主方向’，并测量其与真实子空间（通过全模型集成获得）的夹角。该残差类型为‘gap’（理论假设与实证验证之间的差距）。

• [error]

s2的‘倒U形’关系可能仅在特定数据集和攻击算法下成立。需要跨数据集（CIFAR-10, CIFAR-100, ImageNet）和跨攻击算法（PGD, MI-FGSM, VMI-FGSM）的系统性验证。该残差类型为‘error’（假设的泛化性不足）。

• [assumption]

s3的‘架构参数预测模型’依赖于‘架构族偏移量’的准确估计。但该偏移量可能由训练策略而非基本构建块决定。需要控制训练策略（相同学习率、权重衰减、数据增强）后，重新测量不同架构族的饱和阈值。该残差类型为‘assumption’（混淆变量未控制）。

• [blind_spot]

s4的‘信息瓶颈’假设缺乏理论支撑。需要从信息论角度建模：给定模型更新序列，攻击者能从历史查询中提取多少关于未来模型状态的信息？该残差类型为‘blind_spot’（关键机制未被建模）。