s6: 有效训练量的操作化定义与实证验证

若采用'累积梯度范数'作为有效训练量的代理，则高ε（如8/255）下模型因收敛慢而处于欠拟合状态，其迁移性下降可被重新解释为'有效训练量不足'，而非ε的独立效应。

新颖度: 0.85

s7: 有效秩与锐度的数学关系严格推导与实证检验

激活协方差矩阵的有效秩与Hessian矩阵的最大特征值之间不存在简单的函数关系。两者在经验上高度相关，是因为它们都受同一底层因素（特征表示的'信息压缩程度'）影响，而非互为因果。白虎声称的'有效秩≈Hessian特征值的平方和除以最大特征值'在数学上不成立。

新颖度: 0.9

s8: 细粒度分类场景下的对抗迁移性基准测试

在细粒度分类场景（CUB-200, Stanford Cars, FGVC-Aircraft）下，对抗迁移性的最优ε将显著低于粗粒度场景（CIFAR-10/ImageNet），预计最优ε在2/255至4/255之间。高ε（如8/255）将导致特征坍缩，使模型无法区分细粒度类别间的细微差异。

新颖度: 0.8

s9: 替代模型训练不确定性的方差分解ANOVA模型

替代模型训练随机种子对迁移成功率的方差贡献将被证实为10-15%（在95%置信区间内），且该贡献受目标模型架构（ResNet-50 vs. VGG-16）和攻击算法（FGSM vs. PGD）的影响，但不受数据集（CIFAR-10 vs. ImageNet）的显著影响。

新颖度: 0.75

种子 s6 深度分析

1. Evidence Layer（证据层）

核心假设: 对抗训练强度（ε）对迁移成功率的影响，可能被“有效训练量”所混淆。即，更大的ε导致更小的梯度范数，从而减少了每个训练步的有效信息量，而非ε本身直接抑制了迁移性。

证据强度评估:

* 现有证据: 已有研究表明，对抗训练会降低梯度幅值 [1. Goodfellow et al., 2014]；更大的ε通常导致更小的梯度，因为模型在“平滑”的损失景观上训练 [2. Tsipras et al., 2018]。然而，这些研究并未直接检验“有效训练量”作为中介变量的作用。 * 数据缺口: 目前缺乏公开的、系统性的实验数据，来量化不同ε下累积梯度范数的差异，以及控制该变量后ε与迁移成功率的关系。这是本实验要填补的核心缺口。 * 可证伪性: 该假设具有高可证伪性。如果固定累积梯度范数后，ε与迁移成功率的负相关关系消失或显著减弱，则支持混淆假设；如果关系依然显著，则证伪该假设。

2. Mechanism Layer（机制层）

因果机制: 更大的ε → 训练过程中梯度范数更小 → 在固定步数下，模型参数的总更新量（累积梯度范数）更小 → 模型在参数空间中探索的范围更小 → 学习到的特征可能更“局部”或“平滑”，从而降低了迁移性。

薄弱环节: 该机制的薄弱环节在于“累积梯度范数”是否是“有效训练量”的完美代理。梯度范数小可能意味着模型已经接近局部极小，也可能意味着优化困难。此外，参数更新方向（而非仅大小）对学习内容至关重要。

理论基础: 从第一性原理出发，训练的本质是参数空间的搜索。搜索的“量”可以用参数更新向量的累积长度来度量。如果对抗训练通过减小步长来限制搜索范围，那么其效果可能部分归因于“欠训练”，而非对抗鲁棒性本身的副作用。

3. Tension Layer（张力层）

内部矛盾: 如果“有效训练量”是唯一解释，那么理论上，通过增加训练步数来补偿小梯度，应该能恢复迁移性。但现有研究表明，即使训练到收敛，强对抗训练的模型迁移性仍然较差 [3. Liu et al., 2016]。这表明可能存在ε的独立效应。

可调和性: 这个张力是可调和的。本实验的“固定累积梯度范数”条件，本质上就是通过增加步数来补偿小梯度。如果在该条件下ε的效应依然存在，则证明存在独立于“训练量”的、由ε直接导致的特征变化（如特征过于平滑）。

4. Actionability Layer（可执行层）

行动建议:

1. 立即执行: 按照执行计划，在CIFAR-10上训练ResNet-18模型。 2. 关键监控: 在训练过程中，实时记录每个batch的梯度范数，并计算累积值。确保不同ε下的模型在“固定累积梯度范数”条件下，总训练步数有显著差异（例如，ε=8/255的模型步数应为ε=0的模型的数倍）。 3. 结果判读: * 若偏相关系数不显著: 强烈支持混淆假设。后续研究应关注如何设计“训练量无关”的对抗训练方法。 * 若偏相关系数显著但减弱: 表明ε既有独立效应，也通过训练量产生间接效应。需要进一步分解。 * 若偏相关系数不变: 证伪混淆假设，ε的效应是独立的，应聚焦于特征平滑等机制。

前提条件: 确保梯度范数的计算是准确的（使用torch.autograd.grad）。

失败模式: 如果不同ε下的累积梯度范数差异不大（例如，由于学习率调度或优化器选择），则实验无法区分效应。

置信度: HIGH (0.85) - 实验设计清晰，直接针对核心混淆变量，结果具有决定性。

种子 s7 深度分析

1. Evidence Layer（证据层）

核心假设: 激活协方差矩阵的有效秩与Hessian矩阵的锐度（最大特征值）之间不存在可推导的代数关系。

证据强度评估:

* 现有证据: 在理论上，激活协方差矩阵（C）和Hessian矩阵（H）通过神经网络的雅可比矩阵相关联，但关系复杂且非线性。对于一般非线性网络，不存在简单的代数关系 [4. Sagun et al., 2017]。 * 数据缺口: 缺乏在对抗训练模型上的系统性实证检验。现有研究多关注标准训练模型，且结论不一 [5. Keskar et al., 2016]。 * 可证伪性: 高可证伪性。如果实证发现强相关（例如，|r| > 0.8），且控制潜在变量后依然显著，则证伪“无关系”假设。

2. Mechanism Layer（机制层）

因果机制: 激活协方差的有效秩反映了特征表示的多样性。Hessian的锐度反映了损失景观的曲率。两者通过网络权重的二阶导数间接关联，但并非直接因果。一个高秩的激活空间（多样特征）可以对应一个锐利或平坦的极小点，取决于权重矩阵的结构。

薄弱环节: 实证检验的薄弱环节在于“共同潜在变量”的选择。训练损失值可能不是唯一的共同原因。模型架构、数据集特性等也可能同时影响两者。

3. Tension Layer（张力层）

内部矛盾: 一些研究声称锐度与泛化性相关，而另一些研究声称有效秩与泛化性相关。如果两者本身不相关，则它们可能通过不同的机制影响泛化性，这本身就是一个有趣的发现。

可调和性: 无矛盾，这是一个需要实证检验的开放性问题。

4. Actionability Layer（可执行层）

行动建议:

1. 数学推导: 首先完成形式化的数学推导，明确在ReLU网络下，C和H之间是否存在可简化的关系。 2. 实证检验: 在CIFAR-10上训练不同ε的ResNet-18模型。计算有效秩（基于SVD，取95%方差贡献）和锐度（Hessian最大特征值，使用幂迭代法）。 3. 结果判读: * 若偏相关系数不显著: 支持假设，两者是独立的度量。后续研究可以分别探索它们与迁移性的关系。 * 若偏相关系数显著: 证伪假设，需要重新审视理论，寻找被忽略的关联路径。

前提条件: 需要高效计算Hessian最大特征值的算法（如幂迭代），因为全Hessian计算代价过高。

失败模式: 幂迭代法可能不收敛，或者计算出的有效秩对所有模型都接近（例如，由于ReLU导致的秩缺失），导致无法区分。

置信度: MEDIUM (0.7) - 数学推导部分确定性高，但实证检验受限于计算效率和潜在变量选择。

种子 s8 深度分析

1. Evidence Layer（证据层）

核心假设: 在细粒度分类任务中，对抗迁移性的最优ε与粗粒度任务不同，且与数据集的“语义复杂度”相关。

证据强度评估:

* 现有证据: 细粒度分类对细微特征差异敏感 [6. Wah et al., 2011]。对抗样本通常利用这些细微特征进行攻击 [7. Ilyas et al., 2019]。因此，在细粒度任务上，过强的对抗训练（大ε）可能破坏这些关键细微特征，导致迁移性更差。 * 数据缺口: 缺乏在多个细粒度数据集上系统比较不同ε下迁移成功率的公开基准。 * 可证伪性: 高。如果所有细粒度数据集的最优ε都与粗粒度数据集相同，则证伪假设。

2. Mechanism Layer（机制层）

因果机制: 细粒度数据集的类别间差异小，依赖于高分辨率的局部特征。大ε的对抗训练会强制模型对这些局部特征不敏感，从而抹去了区分不同细粒度类别的关键信息，导致迁移性下降。

薄弱环节: “语义复杂度”的定义和计算方式（类别间特征余弦相似度均值）可能过于粗糙，无法完全捕捉细粒度分类的挑战。

3. Tension Layer（张力层）

内部矛盾: 如果细粒度任务的最优ε更小，那么对于需要高鲁棒性的细粒度应用（如卫星图像识别），标准的大ε对抗训练可能适得其反。

可调和性: 无矛盾，这是一个设计上的权衡。

4. Actionability Layer（可执行层）

行动建议:

1. 执行基准测试: 在CUB-200, Stanford Cars, FGVC-Aircraft上训练ResNet-50模型，变化ε。 2. 结果判读: * 若最优ε < 4/255: 支持假设，细粒度任务需要更温和的对抗训练。 * 若最优ε >= 4/255: 证伪假设，表明对抗迁移性对任务粒度不敏感。

前提条件: 需要获取并预处理三个细粒度数据集。

失败模式: 数据集规模小，导致迁移成功率方差大，无法得出统计显著的结论。

置信度: MEDIUM (0.65) - 假设合理，但受限于数据集规模和“语义复杂度”度量的有效性。

种子 s9 深度分析

1. Evidence Layer（证据层）

核心假设: 替代模型的随机种子（训练不确定性）是迁移成功率方差的一个重要来源，且其贡献可能与其他因素（目标模型、攻击算法、数据集）存在交互。

证据强度评估:

* 现有证据: 深度学习训练具有高度随机性（数据顺序、权重初始化），这会导致模型性能的方差 [8. Summers & Dinneen, 2019]。在对抗迁移性领域，这种方差的影响尚未被系统量化。 * 数据缺口: 缺乏对迁移成功率方差来源的分解研究。 * 可证伪性: 高。如果随机种子的方差贡献很小（例如，<5%），则证伪其重要性。

2. Mechanism Layer（机制层）

因果机制: 不同的随机种子导致模型收敛到不同的局部极小点，这些极小点具有不同的损失景观曲率和特征表示，从而影响对抗样本的迁移性。

薄弱环节: ANOVA假设方差齐性和独立性，但不同因素水平下的方差可能不同。

3. Tension Layer（张力层）

内部矛盾: 如果随机种子的方差贡献很大，那么许多单次实验的结论可能不可靠，需要多次重复。这与当前领域内普遍的单次实验做法相矛盾。

可调和性: 这是一个方法论上的张力，可以通过增加重复次数来调和。

4. Actionability Layer（可执行层）

行动建议:

1. 执行全因子实验: 按照执行计划，进行2x2x5x2的全因子实验，每个条件重复3次。 2. 结果判读: * 若随机种子方差贡献 > 20%: 强烈建议未来研究在报告迁移成功率时，必须报告多次重复的均值和标准差。 * 若随机种子方差贡献 < 5%: 表明单次实验足够可靠。

前提条件: 需要大量的计算资源（2x2x5x2x3 = 120次训练）。

失败模式: 计算资源不足，无法完成全因子实验。

置信度: MEDIUM (0.6) - 实验设计严谨，但计算成本高，且ANOVA的假设可能不完全满足。

种子 s6 — ⚠️ 部分确认 证据等级 C

核心问题：

• 核心代理变量'累积梯度范数'的有效性未经实证检验，在对抗训练下可能失效
• 白虎指出的'坏的控制'问题严重：高ε下梯度范数衰减快可能正是有效收敛的标志，控制它将混淆因果推断
• 未考虑梯度方向与真实梯度正交的情况——此时梯度范数大但信息摄入量为零
• Fisher信息矩阵迹作为理论极限的引用合理，但O(p²)计算复杂度限制使其不可行

缺失数据：

• CIFAR-10上不同ε值（2/255, 4/255, 8/255）的梯度范数衰减曲线是否单调
• 梯度范数与验证损失下降速率的相关性（用于验证代理变量有效性）
• 对抗训练下梯度方向与真实梯度夹角的分布特征
• 不同ε下Fisher信息矩阵迹的近似估计（如通过Kronecker分解）与梯度范数的相关系数

🟡 现实度评分：0.45

引用审计：

• [朱雀分析中隐含的'累积梯度范数与互信息正相关'假设] — ⚠️
• [白虎攻击中提及的'bad control'偏差] — ✅

种子 s7 — ⚠️ 部分确认 证据等级 B

核心问题：

• 朱雀的'无函数关系'声明过于绝对：在NTK regime下，通过Jacobian矩阵J，H=J^T J与激活协方差矩阵存在谱结构关联
• 白虎正确指出：对于MSE损失，Hessian可写为J^T J，而J与激活值a通过链式法则相关，两者并非完全独立
• 有效秩与锐度的'无代数关系'在有限宽度网络中可能成立，但未声明适用范围导致过度泛化
• 未控制训练轮数这一共同原因——有效秩和锐度都随训练单调变化，可能产生虚假不相关

缺失数据：

• 有限宽度ResNet-18与无限宽度NTK regime的偏离程度量化
• 控制训练损失、轮数后的偏相关系数（而非简单皮尔逊相关）
• 不同架构（CNN vs. Transformer）下有效秩-锐度关系的稳定性检验
• Jacobian矩阵奇异值谱与激活协方差矩阵特征值谱的实证关联强度

🟡 现实度评分：0.55

引用审计：

• [Sagun et al., 2017] — ⚠️
• [Neural Tangent Kernel regime] — ✅

种子 s8 — unverified 证据等级 D

核心问题：

• 核心假设'细粒度场景下最优ε更低'缺乏直接证据，依赖类比推理（CIFAR-10→CUB-200）
• 白虎指出的'特征信噪比'调节效应被完全忽略：CUB-200图像质量（专业摄影）显著高于CIFAR-10
• '语义复杂度'定义模糊：若用类别数衡量，ImageNet（1000类）> CUB-200（200类），但CUB-200的细粒度程度更高
• 对抗扰动的频率特性与特征表示频率选择性的匹配理论（白虎的'基岩'）未被纳入考量
• 未考虑模型架构调节效应：使用注意力机制（如TransFG）的细粒度模型可能对局部特征更鲁棒

缺失数据：

• CUB-200与CIFAR-10的量化'语义复杂度'指标（如特征余弦相似度分布、人类判别时间）
• 两数据集的特征信噪比估计（如局部对比度、边缘清晰度）
• 不同ε下ResNet-18在CUB-200上的迁移成功率实测数据
• 对抗扰动在CUB-200图像上的频域成分分析（验证低频vs.高频假设）
• 注意力机制模型（如ViT-based）与CNN在细粒度对抗迁移性上的对比

🔴 现实度评分：0.35

引用审计：

• [对抗扰动破坏局部特征效率高于全局特征] — ⚠️
• [对抗扰动在特征空间为低频] — ✅

种子 s9 — ⚠️ 部分确认 证据等级 C

核心问题：

• 10-15%方差贡献数值缺乏来源支撑，可能低估实际变异
• ANOVA应用于比例数据（迁移成功率）的假设检验缺失：正态性、方差齐性、独立性
• 白虎正确指出高阶交互项（三阶及以上）被忽略，可能解释10-20%额外方差
• 实验设计正交性未检验：若某些目标模型只使用某些攻击算法，则因素相关导致ANOVA有偏
• '数据集无调节效应'假设过于强：ImageNet与CIFAR-10的类别多样性差异可能显著改变随机种子影响

缺失数据：

• 现有文献中替代模型随机种子方差贡献的系统综述（如Meta-analysis）
• 迁移成功率数据的正态性检验（如Shapiro-Wilk）和方差稳定化转换（如logit转换）效果
• CIFAR-10与ImageNet上随机种子方差贡献的对比实证
• 三阶交互项（目标模型×攻击算法×随机种子）的方差贡献估计
• 实验设计的正交性检验（如因素相关矩阵）

🟡 现实度评分：0.50

引用审计：

• [ANOVA方差分解] — ✅
• [随机种子方差贡献10-15%] — ⚠️

攻击 s6 — 🔴 高风险 (严重度 0.85)

反事实分析：如果'累积梯度范数'并非有效训练量的良好代理，而是与ε存在内生性关系呢？高ε下梯度范数衰减更快，但衰减本身可能正是'有效训练'的标志——模型在快速收敛到低损失区域，而非欠拟合。此时，控制累积梯度范数相当于'控制结果'而非'控制过程'，引入'坏的控制'（bad control）偏差。竞争者视角：一个反对者会指出，信息论中的互信息计算需要知道真实数据分布，而梯度范数只是其一阶近似。在对抗训练中，梯度方向被对抗扰动扭曲，大梯度范数可能对应'对抗噪声'而非'有效信息'。最坏情况：如果累积梯度范数与有效信息摄入量在对抗训练中呈负相关（高ε下梯度范数大但信息量小），那么整个实验设计将崩溃——控制梯度范数反而放大了ε的混淆效应。数据质疑：谛听提供的证据等级中，'累积梯度范数与互信息变化正相关'被标记为脆弱假设。请问在CIFAR-10上，当ε从2/255增加到8/255时，梯度范数的衰减速率是否单调？是否存在非单调区间（如ε=4/255时衰减最慢）？如果存在，该代理变量的有效性将受到严重质疑。理论极限攻击：对照种子的limit_vision——'每个训练步的有效信息处理量可被精确测量（Fisher信息矩阵的迹）'。当前假设离这个极限有多远？差距在于：Fisher信息矩阵的计算需要整个数据分布，而实际中只能用mini-batch估计，且对抗训练下Fisher矩阵的谱结构可能被扰动扭曲。为什么？因为对抗样本改变了损失景观的局部曲率，使得Fisher矩阵的估计方差急剧增大。

⚠️ 未解决

攻击 s7 — 🟡 中风险 (严重度 0.75)

反事实分析：如果白虎声称的'有效秩≈Hessian特征值的平方和除以最大特征值'在特定条件下成立呢？例如，当网络为线性且激活函数为ReLU时，Hessian矩阵可表示为X^T diag(1_{z>0}) X，而激活协方差矩阵为X^T X / n。此时，两者确实存在代数关系——Hessian的有效秩等于激活协方差矩阵的有效秩（因为对角矩阵diag(1_{z>0})不改变秩结构）。竞争者视角：一个支持白虎的反对者会指出，在无限宽度极限下（Neural Tangent Kernel regime），神经网络的行为由NTK决定，而NTK的特征值与激活协方差矩阵的特征值存在已知关系。此时，有效秩与锐度可能通过NTK建立联系。最坏情况：如果两者在经验上高度相关（r>0.9），且这种相关性在控制共同原因后仍然显著，那么即使数学上无直接关系，实证上也可作为'有效代理'使用。这将削弱s7的novelty（0.9），因为实证结果可能支持白虎的直觉。数据质疑：谛听提供的证据等级中，'激活协方差矩阵和Hessian矩阵的定义域不同'被标记为强假设。但请注意：在深度学习中，Hessian矩阵通常作用于参数空间，但也可通过'神经正切核'映射到特征空间。具体地，对于均方误差损失，Hessian矩阵可写为J^T J（J为Jacobian矩阵），而J^T J与激活协方差矩阵X^T X共享相同的非零特征值（因为J与X通过链式法则相关）。因此，两者在数学上并非完全无关。理论极限攻击：对照种子的limit_vision——'可构建解耦特征空间，其中有效秩和锐度成为两个独立坐标轴'。当前假设离这个极限有多远？差距在于：即使有效秩和锐度在数学上无直接函数关系，它们在经验上可能高度共线，使得解耦变得困难。为什么？因为两者都受同一底层因素（特征表示的'信息压缩程度'）影响，而该因素在训练过程中是单调变化的（从低压缩到高压缩）。因此，在自然训练过程中，有效秩和锐度可能沿着一条'流形'变化，而非独立变化。

⚠️ 未解决

攻击 s8 — 🔴 高风险 (严重度 0.8)

反事实分析：如果细粒度分类场景下对抗迁移性的最优ε并不低于粗粒度场景呢？例如，在CUB-200上，如果模型学会了'全局形状特征'（如鸟的整体轮廓）而非'局部判别性特征'（如喙的形状），那么高ε可能不会破坏细粒度判别能力。实际上，许多细粒度分类模型依赖于'部件检测'（part detection），而这些部件的位置信息可能对对抗扰动鲁棒。竞争者视角：一个反对者会指出，细粒度分类的'语义复杂度'并非由类别间特征重叠度决定，而是由'特征的信噪比'决定。如果细粒度数据集的图像质量更高（如专业摄影），那么局部特征的信噪比可能高于粗粒度数据集（如CIFAR-10的32x32像素图像）。此时，高ε可能对细粒度分类影响更小。最坏情况：如果最优ε在细粒度场景下反而更高（如8/255），那么整个假设将被推翻。这可能发生在以下情况：细粒度数据集的类别间差异虽然细微，但每个类别内部的方差也小，使得决策边界更'清晰'，从而对抗训练可以更有效地'平滑'这些边界而不破坏判别性。数据质疑：谛听提供的证据等级中，'细粒度数据集的语义复杂度显著高于粗粒度数据集'被标记为强假设。但如何量化'语义复杂度'？如果使用特征余弦相似度，那么ImageNet的类别间相似度可能高于CUB-200（因为ImageNet有1000类，而CUB-200只有200类）。实际上，ImageNet的'细粒度'子集（如狗品种）的语义复杂度可能高于CUB-200。理论极限攻击：对照种子的limit_vision——'可构建语义复杂度-ε-迁移成功率的三维相图'。当前假设离这个极限有多远？差距在于：当前假设仅考虑'语义复杂度'一个维度，但理论极限要求同时考虑'特征信噪比'、'类别内方差'、'决策边界曲率'等多个维度。为什么？因为细粒度分类的对抗迁移性可能由多个因素共同决定，而非仅由语义复杂度决定。

⚠️ 未解决

攻击 s9 — 🟡 中风险 (严重度 0.7)

反事实分析：如果替代模型训练随机种子对迁移成功率的方差贡献远高于10-15%（如30-40%）呢？这可能发生在以下情况：目标模型架构对替代模型的'偶然特征'（spurious features）敏感，而这些偶然特征在不同随机种子下变化很大。例如，如果目标模型依赖于背景纹理（而非物体形状），那么替代模型训练时数据增强的随机性（如随机裁剪、颜色抖动）将导致迁移成功率的大幅波动。竞争者视角：一个反对者会指出，ANOVA分解的假设（如方差齐性、正态性）在迁移成功率数据上可能不成立。迁移成功率是0-1之间的比例数据，其方差受均值影响（均值接近0或1时方差小）。因此，ANOVA分解可能产生有偏估计。最坏情况：如果替代模型训练随机种子的方差贡献在CIFAR-10和ImageNet上显著不同（如CIFAR-10上为5%，ImageNet上为25%），那么假设'数据集无调节效应'将被推翻。这可能是因为ImageNet的类别多样性更高，使得不同随机种子下的模型学习到不同的'特征子集'，从而影响迁移性。数据质疑：谛听提供的证据等级中，'替代模型训练随机种子对迁移成功率的影响是随机效应'被标记为强假设。但如何检验这个假设？如果随机种子与目标模型架构存在交互作用（如对ResNet-50是随机效应，对VGG-16是固定效应），那么ANOVA模型将误设。理论极限攻击：对照种子的limit_vision——'可构建方差贡献图谱，其中每个因素的方差贡献被精确量化'。当前假设离这个极限有多远？差距在于：当前假设仅考虑主效应和二阶交互项，但理论极限要求考虑所有高阶交互项（如目标模型架构×攻击算法×替代模型随机种子）。为什么？因为高阶交互项可能解释大量方差（如在某些攻击算法下，随机种子的影响被放大），忽略它们将导致方差贡献估计的偏差。

⚠️ 未解决

🔍 认知盲区

• [blind_spot]

s6的'累积梯度范数'代理变量可能存在内生性问题：高ε下梯度范数衰减快，但衰减本身可能是'有效训练'的标志，而非欠拟合。控制梯度范数相当于控制结果，引入'坏的控制'偏差。

• [assumption]

s7的'无函数关系'假设在NTK regime下可能不成立：通过Jacobian矩阵的谱结构，激活协方差矩阵和Hessian矩阵的特征值可能存在已知关系。需要明确声明该假设的适用范围（有限宽度 vs. 无限宽度）。

• [gap]

s8的'最优ε更低'假设忽略了'特征信噪比'和'类别内方差'的调节效应：细粒度数据集可能具有更高的图像质量（信噪比高）和更小的类别内方差，使得高ε更有效。需要控制这些因素后再检验假设。

• [error]

s9的ANOVA模型忽略了高阶交互项和实验设计非正交性：三阶交互项（目标模型×攻击算法×随机种子）可能解释大量方差，且实验设计可能非正交（如某些目标模型只使用某些攻击算法）。需要报告交互项的显著性并检验实验设计的正交性。

• [blind_spot]

所有种子共享的盲点：未考虑'替代模型架构'的调节效应。s6-s9的假设可能在不同替代模型架构（如ResNet-50 vs. DenseNet-121）下表现不同。建议在实验设计中加入'替代模型架构'作为因素，或至少声明当前结论的架构适用范围。