s1: 方差分解实验设计：量化架构、训练动态、数据分布对迁移攻击饱和阈值的解释方差

通过精心设计的方差分解实验（如ANOVA或随机效应模型），可以量化架构参数、训练超参数、数据分布特征及其交互作用对饱和阈值总方差的贡献。我们预测，在大多数现代架构中，训练动态（特别是学习率调度）和数据分布（局部性程度）的解释方差之和将超过静态架构参数，挑战‘架构参数决定论’。

新颖度: 0.95

s2: 特征对齐度（CKA）作为冗余度-饱和阈值关系调节变量的实证验证

在CNN内，高冗余度（如宽层）导致高特征对齐度（CKA），从而降低饱和阈值（更易攻击）。但在ViT中，由于自注意力的全局混合特性，高冗余度可能并不导致高CKA（特征更分散），因此冗余度-饱和阈值关系可能减弱甚至反转。CKA是解释这种跨族差异的关键调节变量。

新颖度: 0.85

s3: 基于神经正切核（NTK）的训练超参数对Hessian谱影响的理论参数化

在NTK（神经正切核）的线性化近似下，学习率、优化器动量、权重衰减等训练超参数对Hessian谱（特别是最大特征值和有效秩）的影响可以被解析地参数化。具体而言，学习率通过控制参数更新的‘步长’来缩放Hessian的最大特征值，而动量则引入一个低通滤波效应，抑制高频曲率分量。

新颖度: 0.9

s4: 数据分布局部性程度的量化指标开发与验证

数据分布‘局部性’（即图像中信息在空间上的集中程度，如纹理主导vs形状主导）可以通过一个基于小波变换或局部自相关函数的指标来量化。该指标与迁移攻击饱和阈值呈负相关：局部性越强（如纹理主导），饱和阈值越低（更易攻击），因为攻击者可以更容易地利用局部像素扰动来破坏关键特征。

新颖度: 0.8

种子 s1 深度分析

方差分解实验设计：量化架构、训练动态、数据分布对迁移攻击饱和阈值的解释方差

1. Evidence Layer（证据层）

饱和阈值定义：使用PGD-10攻击，在ImageNet子集上测量ASR随攻击步数的变化曲线，定义饱和阈值为ASR增长速率首次低于0.5%的步数。

* 来源类型：INFERRED * 来源引用：[1. Madry et al. 2017] 定义了PGD攻击，但未定义“饱和阈值”。此定义为实验设计中的操作化定义，基于攻击成功率的边际收益递减原理。 * 证据强度：LOW。该定义是合理的，但缺乏先例。需要验证0.5%的阈值是否对所有模型和攻击配置都敏感。

实验矩阵：

* 架构：ResNet-18/50 [2. He et al. 2015], ViT-B/16 [3. Dosovitskiy et al. 2020], MLP-Mixer-B/16 [4. Tolstikhin et al. 2021]。 * 训练动态：学习率（0.01, 0.1），优化器（SGD, AdamW [5. Kingma & Ba 2014]），批量大小（64, 256）。 * 数据分布：原始ImageNet（形状+纹理），风格化ImageNet（纹理主导）[6. Geirhos et al. 2018]，边缘化ImageNet（形状主导）。 * 来源类型：VERIFIED * 来源引用：[2-6] 均为已发表论文，提供了明确的模型架构、训练方法和数据集生成方法。 * 证据强度：HIGH。这些是计算机视觉领域的标准基准。

方差分解方法：使用三因素ANOVA分析饱和阈值的总方差，计算每个因素的主效应和二阶交互效应的解释方差比例（η²）。

* 来源类型：VERIFIED * 来源引用：[7. Fisher 1925] 方差分析是统计学中的标准方法。 * 证据强度：HIGH。方法学上成熟，但需要满足ANOVA的假设（正态性、方差齐性）。

2. Mechanism Layer（机制层）

核心机制：迁移攻击的饱和阈值由源模型和目标模型决策边界的几何相似性决定。

* 因果链： 1. 架构：决定模型的特征空间维度（宽度、深度）和归纳偏置（卷积的局部性 vs. 自注意力的全局性）。 2. 训练动态：影响模型收敛到的局部极小值的锐度（Sharpness）。学习率大、批量小通常导致更尖锐的极小值 [8. Keskar et al. 2016]，而尖锐的极小值可能对应更复杂的决策边界，从而影响迁移性。 3. 数据分布：决定模型学习到的特征类型（形状 vs. 纹理）。CNN倾向于纹理，ViT倾向于形状 [6. Geirhos et al. 2018]。 * 薄弱环节： * “训练动态”对决策边界几何的影响机制尚不完全清楚。学习率、优化器、批量大小之间存在复杂的交互作用。 * “数据分布”的操作化（风格化、边缘化）可能引入额外的混淆变量（如风格化图像的质量、边缘检测的阈值）。

3. Tension Layer（张力层）

内部矛盾：

* 架构 vs. 数据分布：如果ViT确实比CNN更依赖形状特征，那么对于边缘化ImageNet（形状主导），ViT的饱和阈值应该更高（需要更多步数才能达到饱和）。但对于风格化ImageNet（纹理主导），CNN的饱和阈值可能更高。这可能导致显著的交互效应，使得“架构参数主导”的结论仅在特定数据分布下成立。 * 训练动态 vs. 架构：ViT通常需要比CNN更精细的训练超参数（如更小的权重衰减、更长的预热）[3. Dosovitskiy et al. 2020]。因此，相同的训练动态（如学习率0.1）可能对ResNet是合理的，但对ViT是次优的，从而引入偏差。

可调和性：这些张力是可调和的。通过ANOVA的交互效应项可以量化这些矛盾。如果交互效应显著，则结论需要限定在特定条件下。

4. Actionability Layer（可执行层）

行动1：执行初步实验（缩小矩阵）

* 行动：使用2种架构（ResNet-18, ViT-B/16）、2种训练配置（SGD lr=0.01, AdamW lr=0.001）、2种数据分布（原始ImageNet, 风格化ImageNet）进行2x2x2=8组实验。 * 时间线：2周（包括数据准备、模型训练、攻击实验）。 * 前提条件：获取预训练模型权重，生成风格化ImageNet子集。 * 失败模式：如果饱和阈值在所有条件下都极高（>50步）或极低（<5步），则定义失效，需要调整攻击步数范围或阈值标准。 * 置信度：HIGH。实验设计清晰，资源需求可控。

行动2：验证饱和阈值定义的鲁棒性

* 行动：在初步实验的8组结果中，检查饱和阈值对0.5%阈值的敏感性。尝试0.2%和1%的阈值，观察排序是否改变。 * 时间线：与行动1并行，1天。 * 前提条件：行动1完成。 * 失败模式：如果排序对阈值高度敏感，则需要重新定义饱和阈值（例如，使用ASR曲线的曲率或AUC）。 * 置信度：MEDIUM。这是一个必要的鲁棒性检查。

证据摘要

| Claim | Source Type | Source Ref | Confidence |
| :--- | :--- | :--- | :--- |
| PGD-10攻击是迁移攻击的标准方法 | VERIFIED | [1. Madry et al. 2017] | HIGH |
| ResNet-18/50, ViT-B/16, MLP-Mixer-B/16是代表性架构 | VERIFIED | [2. He et al. 2015], [3. Dosovitskiy et al. 2020], [4. Tolstikhin et al. 2021] | HIGH |
| 风格化ImageNet可操纵模型对纹理/形状的依赖 | VERIFIED | [6. Geirhos et al. 2018] | HIGH |
| 三因素ANOVA可量化各因素的解释方差 | VERIFIED | [7. Fisher 1925] | HIGH |
| 训练动态影响极小值锐度 | ESTIMATE | [8. Keskar et al. 2016] |

种子 s2 深度分析

特征对齐度（CKA）作为冗余度-饱和阈值关系调节变量的实证验证

1. Evidence Layer（证据层）

CKA相似度：用于测量神经网络表示之间的相似性。

* 来源类型：VERIFIED * 来源引用：[9. Kornblith et al. 2019] 提出了CKA作为表示相似性的度量，并验证了其与迁移学习性能的相关性。 * 证据强度：HIGH。CKA是表示相似性分析的标准工具。

模型冗余度操作化：通过改变模型宽度（通道数/头数）来操纵冗余度。

* 来源类型：INFERRED * 来源引用：[10. Frankle & Carbin 2018] 的彩票假说表明，网络中存在可以独立训练的子网络（即冗余结构）。改变宽度是操纵冗余度的直接方式。 * 证据强度：MEDIUM。宽度与冗余度正相关，但并非完美对应。其他因素（如深度、连接模式）也影响冗余度。

调节效应分析：使用回归分析，以冗余度为自变量，饱和阈值为因变量，CKA为调节变量。

* 来源类型：VERIFIED * 来源引用：[11. Baron & Kenny 1986] 提出了调节效应的标准检验方法。 * 证据强度：HIGH。方法学上成熟。

2. Mechanism Layer（机制层）

核心机制：模型冗余度（宽度）影响其决策边界的复杂度，而CKA衡量了不同模型决策边界的对齐程度。

* 因果链： 1. 高冗余度（宽模型） → 特征空间维度高 → 决策边界更复杂、更精细 → 对特定扰动更敏感 → 饱和阈值可能更低（攻击更容易找到有效方向）。 2. 高CKA → 源模型和目标模型的表示空间高度对齐 → 决策边界几何相似 → 迁移攻击更有效 → 饱和阈值可能更低。 3. 调节效应：CKA可能放大或减弱冗余度的影响。例如，如果两个模型CKA很高，即使冗余度不同，它们的决策边界也可能相似，从而减弱冗余度的影响。 * 薄弱环节： * “冗余度”与“决策边界复杂度”之间的因果关系是假设性的，缺乏直接证据。 * CKA计算的是最后一层特征的相似性，但迁移攻击可能利用中间层的特征。

3. Tension Layer（张力层）

内部矛盾：

* 冗余度 vs. CKA：如果两个模型来自同一架构族（如ResNet-18的0.5x和2x宽度），它们的CKA可能很高，因为共享相似的归纳偏置。此时，冗余度对饱和阈值的影响可能被高CKA所掩盖。 * 跨架构比较：对于不同架构（如ResNet vs. ViT），CKA通常很低 [9. Kornblith et al. 2019]。此时，CKA可能成为饱和阈值的主要预测因子，而冗余度的影响可能不显著。

可调和性：这些张力正是调节效应分析要检验的。如果CKA与冗余度的交互项显著，则说明CKA确实调节了冗余度的影响。

4. Actionability Layer（可执行层）

行动1：构建不同宽度的模型

* 行动：使用timm库或自行训练，获取ResNet-18的0.5x, 1x, 2x宽度版本，以及ViT-B/16的4头, 8头, 16头版本。 * 时间线：1-2周（如果自行训练）。 * 前提条件：计算资源，训练代码。 * 失败模式：极窄模型（0.5x宽度）可能无法收敛，导致无法使用。 * 置信度：MEDIUM。需要确保模型质量。

行动2：计算CKA并分析调节效应

* 行动：对每对模型（源模型与目标模型）计算CKA。然后使用回归分析检验调节效应。 * 时间线：1周。 * 前提条件：行动1完成，s1的饱和阈值数据。 * 失败模式：如果CKA在所有模型对之间都极高或极低，则缺乏方差，无法检验调节效应。 * 置信度：HIGH。方法学上清晰。

证据摘要

| Claim | Source Type | Source Ref | Confidence |
| :--- | :--- | :--- | :--- |
| CKA是表示相似性的标准度量 | VERIFIED | [9. Kornblith et al. 2019] | HIGH |
| 改变宽度可操纵模型冗余度 | INFERRED | [10. Frankle & Carbin 2018] | MEDIUM |
| 调节效应可通过回归分析检验 | VERIFIED | [11. Baron & Kenny 1986] | HIGH |

种子 s3 深度分析

基于神经正切核（NTK）的训练超参数对Hessian谱影响的理论参数化

1. Evidence Layer（证据层）

NTK线性化框架：在无限宽度极限下，神经网络训练等价于核方法。

* 来源类型：VERIFIED * 来源引用：[12. Jacot et al. 2018] 提出了NTK理论。 * 证据强度：HIGH。NTK是深度学习理论的重要基石。

Hessian谱与泛化：Hessian矩阵的特征值（特别是最大特征值）与泛化性能相关。

* 来源类型：VERIFIED * 来源引用：[13. Keskar et al. 2016] 表明尖锐极小值（Hessian最大特征值大）泛化差。[14. Sagun et al. 2017] 研究了Hessian谱的演化。 * 证据强度：HIGH。有大量实证和理论研究。

超参数对梯度流的影响：学习率、动量、权重衰减影响梯度下降的动态。

* 来源类型：VERIFIED * 来源引用：[15. Sutskever et al. 2013] 分析了动量的作用。[16. Zhang et al. 2018] 分析了权重衰减的作用。 * 证据强度：HIGH。这些是优化理论中的标准结果。

2. Mechanism Layer（机制层）

核心机制：在NTK线性化框架下，训练动态由NTK的特征值和学习率决定。

* 因果链： 1. NTK线性化：假设网络宽度无穷大，则网络输出f(θ, x)在参数空间中的演化由NTK K(x, x')决定。 2. 梯度流：在均方误差损失下，梯度流方程的解为 f_t = (I - e^{-η K t}) y，其中η是学习率，y是标签。 3. Hessian谱：在NTK线性化下，Hessian矩阵近似为 K ⊗ I（Kronecker积），其谱由NTK的特征值决定。 4. 超参数影响：学习率η影响收敛速度，动量β引入惯性，权重衰减λ引入正则化项（相当于修改损失函数为 L' = L + λ||θ||²）。这些超参数可以纳入修改后的梯度流方程。 * 薄弱环节： * 线性化近似：NTK线性化仅在无限宽度极限下严格成立。对于实际使用的有限宽度网络，线性化近似可能不准确，特别是对于深层网络和复杂任务。 * Hessian谱的演化：在NTK线性化下，Hessian谱是静态的（不随时间变化）。但在实际训练中，Hessian谱是动态演化的 [14. Sagun et al. 2017]。

3. Tension Layer（张力层）

内部矛盾：

* NTK线性化 vs. 实际训练：NTK线性化预测Hessian谱是静态的，但实际训练中Hessian谱是动态的。这是一个根本性的矛盾。 * 理论预测 vs. 数值验证：理论推导可能预测学习率增大导致Hessian最大特征值增大，但实际测量可能因为有限宽度效应而观察到不同的趋势。

可调和性：这些矛盾是不可调和的，因为NTK线性化是一个近似。该研究的价值在于评估这种近似的有效性边界。

4. Actionability Layer（可执行层）

行动1：完成理论推导

* 行动：在NTK线性化框架下，推导包含学习率、动量、权重衰减的梯度流方程，并求解Hessian谱的解析解。 * 时间线：2-4周。 * 前提条件：扎实的数学功底（或与理论方向合作者）。 * 失败模式：推导可能过于复杂，无法得到封闭形式的解析解。 * 置信度：LOW。理论推导具有高度不确定性。

行动2：进行数值验证

* 行动：在小型网络（2层MLP，宽度1024）和CIFAR-10上，使用不同超参数组合进行训练，并测量Hessian谱。 * 时间线：2周。 * 前提条件：PyHessian库，计算资源。 * 失败模式：即使宽度为1024，NTK线性化近似也可能不准确，导致理论与实际严重不符。 * 置信度：MEDIUM。数值实验可行，但结果可能不支持理论。

证据摘要

| Claim | Source Type | Source Ref | Confidence |
| :--- | :--- | :--- | :--- |
| NTK线性化框架是深度学习理论的基础 | VERIFIED | [12. Jacot et al. 2018] | HIGH |
| Hessian谱与泛化性能相关 | VERIFIED | [13. Keskar et al. 2016], [14. Sagun et al. 2017] | HIGH |
| 超参数影响梯度下降动态 | VERIFIED | [15. Sutskever et al. 2013], [16. Zhang et al. 2018] | HIGH |

种子 s1 — ⚠️ 部分确认 证据等级 C

核心问题：

• 核心假设'架构参数可正交操纵'与已知事实冲突：ViT确实需要与CNN不同的训练配置（学习率、warmup、优化器），这是已被广泛报道的经验现象[B级]
• 方差分析(ANOVA)要求因素独立性，但'架构'与'最优训练配置'存在物理耦合——改变架构必然改变最优训练超参数空间，这是结构性问题而非可忽略的技术细节
• 白虎提出的'联合流形梯度测量'替代方案在理论上有价值，但缺乏具体实施路径和先例引用
• 0.5% ASR增长阈值的操作化定义缺乏文献支撑，朱雀未说明该数值的来源

缺失数据：

• 已发表研究中关于ResNet与ViT在相同训练配置下的收敛率对比数据
• 不同学习率下ViT与CNN的饱和阈值测量值（用于量化'耦合效应'的实际影响）
• ANOVA残差分析在存在因素耦合时的统计功效模拟
• 替代测量协议：基于曲率而非离散阈值的饱和检测方法

🟡 现实度评分：0.45

引用审计：

• [朱雀分析中未提供具体引用，仅依赖方法论声明] — ⚠️

种子 s2 — ⚠️ 部分确认 证据等级 C

核心问题：

• CKA对层选择敏感是已知问题：Kornblith et al. (2019) 指出CKA值依赖于层的选择策略，不同架构的'对应层'定义缺乏标准化协议
• 白虎指出的因果方向问题成立：现有文献多为相关性研究，干预实验（人为改变CKA观察饱和阈值变化）缺失
• 混杂变量控制不足：公开模型库中的模型不仅训练配置不同，数据增强策略、正则化强度、训练时长均存在差异，这些变量与CKA和饱和阈值都可能相关
• 朱雀提出的'标准化层选择协议'未具体说明如何实现跨架构（CNN conv层 vs ViT attention层）的对齐

缺失数据：

• 干预实验设计：通过特征解耦或对抗训练人为改变CKA，测量饱和阈值变化
• 层选择策略对CKA-饱和阈值关系影响的敏感性分析
• 控制训练配置后的CKA与饱和阈值偏相关分析
• CKA计算成本在大型模型上的实际测量数据（ViT-L/16, ResNet-152等）

🟡 现实度评分：0.55

引用审计：

• [CKA作为特征相似性度量] — ✅
• [CKA与迁移学习的关系] — ⚠️
• [timm库模型训练配置差异] — ✅

种子 s3 — unverified 证据等级 D

核心问题：

• NTK近似的边界条件未被朱雀明确声明：'无限宽极限'是数学严格假设，但ViT-B/16 (宽度768) 明显偏离该极限
• '定性一致'的标准过于模糊：趋势相同但数值偏差50%是否可接受？朱雀未定义可接受的误差范围
• Hessian谱与饱和阈值的关系本身缺乏严格证明：上轮s4（背景提及）仅提供相关性证据，因果链未建立
• 理论链'训练超参数→Hessian谱→饱和阈值'存在两个未验证环节，风险累积

缺失数据：

• ViT-B/16在ImageNet上的NTK与实际训练动态的定量对比（如损失曲面、优化轨迹）
• 有限宽NTK修正项（finite-width NTK）的推导与计算可行性评估
• Hessian最大特征值与饱和阈值的偏相关分析（控制其他训练超参数）
• '定性一致'的操作化定义：允许的数值偏差范围、趋势一致性的统计检验

🔴 现实度评分：0.35

引用审计：

• [Lee et al., 2020 on NTK finite-width corrections] — ⚠️
• [NTK在有限宽下的准确性] — ⚠️

种子 s4 — unverified 证据等级 D

核心问题：

• 核心概念'数据局部性指数(DLI)'定义缺失：未说明计算方法、取值范围、与现有指标（如局部二值模式LBP、空间频率）的关系
• 白虎指出的理论矛盾成立：'局部性'是观察者依赖概念——CNN的局部感受野与ViT的全局注意力对'局部性'的感知不同，不存在模型无关的局部性度量
• 反例场景合理：纯噪声数据（低局部性）上的过拟合模型可能具有高饱和阈值，与假设矛盾
• 数据增强引入的'伪局部性'问题：CutMix等操作创造空间上不连续的局部特征，可能误导DLI计算

缺失数据：

• DLI的精确定义与计算公式
• DLI与现有图像局部性度量（如空间频率、梯度幅值分布）的相关性验证
• CNN与ViT在相同数据集上DLI计算值的对比（检验模型依赖性）
• 风格化ImageNet与边缘化ImageNet上DLI的实际测量值
• DLI与饱和阈值关系的跨架构稳定性检验

🔴 现实度评分：0.25

引用审计：

• [数据局部性指数DLI] — ❌
• [CutMix降低迁移攻击成功率] — ⚠️

攻击 s1 — 🔴 高风险 (严重度 0.85)

反事实分析：如果方差分解实验发现‘交互效应’（如架构×学习率）解释了超过50%的方差，而主效应微不足道，那么你的核心假设（可以独立量化各因素重要性）将彻底崩塌。你假设因素可以被‘独立且正交地操纵’，但现实是，架构和训练动态在物理上纠缠——例如，ViT需要比CNN更低的学习率才能收敛。这种‘不可正交性’意味着你的方差分解结果将是不可解释的统计伪像。此外，你假设‘存在标准化的饱和阈值测量协议’，但阈值本身依赖于攻击算法（PGD vs FGSM）和扰动度量（L∞ vs L2），这引入了未被声明的隐含变量。

⚠️ 未解决

攻击 s2 — 🟡 中风险 (严重度 0.75)

竞争者视角：一个怀疑论者会反驳——CKA只是特征相似性的度量，而非因果机制。你假设‘高CKA导致低饱和阈值’，但反向因果也可能成立：低饱和阈值（易攻击）的模型可能因为其特征空间‘更简单’而自然具有高CKA。更致命的是，你依赖‘公开模型库’且要求‘训练配置严格控制’，但现有公开模型（如timm库）的训练配置差异巨大（学习率、数据增强、训练时长），这些混杂变量会污染CKA与饱和阈值的关系。你的‘标准化层选择协议’假设也脆弱——不同架构的层功能不对齐（CNN的conv层 vs ViT的attention层），CKA对层选择高度敏感，这引入了自由度。

⚠️ 未解决

攻击 s3 — 🔴 高风险 (严重度 0.9)

数据质疑：NTK线性化近似在有限宽模型（尤其是ViT）下的准确性存疑。现有研究（如Lee et al., 2020）表明，NTK预测在宽度小于1024时显著偏离实际训练动态。你的假设‘定性一致’过于模糊——定性一致意味着什么？趋势相同但数值偏差50%也算‘定性一致’吗？更关键的是，你依赖‘Hessian谱的最大特征值和有效秩是预测饱和阈值的关键指标’，但上轮s4（未在此处列出，但作为背景）并未严格证明这一点——它只是相关性证据。如果Hessian谱与饱和阈值的关系本身是脆弱的，那么你的整个理论链（训练超参数→Hessian谱→饱和阈值）将建立在沙地上。

⚠️ 未解决

攻击 s4 — 🔴 高风险 (严重度 0.8)

最坏情况：你的‘数据局部性指数’（DLI）可能完全失效。考虑一个极端场景：一个数据集由纯噪声图像组成（局部性极低），但模型过拟合到噪声上，导致迁移攻击饱和阈值极高（因为特征不可迁移）。这与你的假设（局部性越强，饱和阈值越低）矛盾。更现实的情况是：数据增强（如CutMix）会人为引入局部性，但实际降低了迁移攻击成功率（因为特征被破坏）。你的指标无法区分‘自然局部性’和‘增强引入的局部性’。此外，你假设DLI与饱和阈值的关系在不同架构族中‘保持单调’，但ViT的全局注意力可能对局部性不敏感——对于纹理主导的数据，ViT可能学习全局形状而非局部纹理，从而反转关系。

⚠️ 未解决

🔍 认知盲区

• [assumption]

s1的方差分解设计忽略了架构与训练动态的物理耦合（如ViT需要低学习率），导致‘正交操纵’假设不成立，主效应不可解释。

• [blind_spot]

s2的CKA因果方向未解决（低饱和阈值导致高CKA，而非反之），且混杂变量（训练配置差异）未被控制。

• [gap]

s3的NTK近似在有限宽模型（如ViT-B/16）下的定量准确性未验证，仅依赖‘定性一致’的模糊标准。

• [error]

s4的‘模型无关数据局部性指数’在理论上不可能——局部性是观察者（模型归纳偏置）依赖的概念。

• [blind_spot]

所有种子都未考虑攻击算法选择（PGD vs FGSM）和扰动度量（L∞ vs L2）对饱和阈值定义的隐含影响，导致测量协议不标准化。