Большая разница

Большинство моделей машинного обучения уязвимы к состязательным примерам, что создает проблемы безопасности для этих моделей. Состязательные примеры создаются путем применения тонких, но намеренно худших модификаций к примерам из набора данных, что приводит к тому, что модель выдает ответ, отличный от исходного примера. В данной статье состязательные примеры формируются совершенно противоположным образом, которые существенно отличаются от исходных примеров, но приводят к тому же ответу. Мы предлагаем новый набор алгоритмов для создания таких состязательных примеров, включая метод отрицательного итерационного быстрого градиента (NI-FGSM) и метод отрицательного итерационного быстрого градиента (NI-FGM), а также их варианты с импульсом: метод отрицательного итерационного быстрого градиента (NMI-FGSM) и метод отрицательного итерационного быстрого градиента (NMI-FGM). Состязательные примеры, созданные этими методами, могут быть использованы для проведения атаки на системы машинного обучения в определенных случаях. Более того, наши результаты показывают, что вредоносные примеры не просто распределены по соседству с примерами из набора данных; вместо этого они широко распределены в пространстве выборки. - A New Type of Adversarial Examples

Изначально, состязательные примеры строились на принципах незаметности. Здесь же, все наоборот - состязательный пример сильно отличается от оригинала. Человек, при классификации, легко отличит состязательный пример от оригинала. Модель же - не отличает.

P.S. См. также другие публикации по теме adversarial, посвященные устойчивому машинному обучению