在人工智能安全领域，深度学习模型(DLMs)如同拥有"火眼金睛"的卫士，却在面对精心设计的"视觉陷阱"——对抗样本(Adversarial Examples)时频频失手。这些肉眼难以察觉的微小扰动，能让图像分类系统将熊猫误认为长臂猿，或使自动驾驶车辆对停车标志视而不见。更棘手的是，现实中的攻击者往往处于"黑盒"环境，既无法窥探模型内部结构，又受限于查询次数，传统攻击方法如同"盲人摸象"，要么效果不佳，要么效率低下。

针对这一困境，国防科技大学与西安电子科技大学广州研究院的联合团队在《Scientific Reports》发表突破性研究。他们发现深度学习模型的非凸特性导致存在多个通用对抗扰动(UAP)方向，但现有方法仅利用单一方向，如同只掌握了"半套武功秘籍"。为此，团队创新性提出多通用对抗扰动(MUAPs)概念，并开发了两阶段攻击框架SMPack：第一阶段通过代理模型生成可迁移的MUAPs库，实现"批量破防"；第二阶段采用遗传算法进行个性化微调，完成"精准打击"。这种"组合拳"策略在保证攻击成功率(ASR)的同时，将查询次数压缩至传统方法的1/60。

关键技术方面，研究团队开发了MUAPs生成算法(MUAPG)，通过双目标损失函数平衡扰动效果与多样性；构建了包含通用模式(General)和类别定向(Category)两种模式的扰动库；采用遗传算法进行种群优化，利用GPU并行计算突破高维空间搜索瓶颈。实验选取MNIST、CIFAR-10、SVHN和ImageNet四个尺度递增的数据集，在CNN、ResNet等模型上验证性能。

研究结果显示三大突破性发现：

1. MUAPs有效性验证：在CIFAR-10数据集上，10个MUAPs组合使攻击成功率从单扰动的76.8%跃升至90.4%，证实"人多力量大"的扰动协同效应。
2. 黑盒攻击性能：在MNIST数据集上，SMPack达到100%攻击成功率，仅需10次查询，而传统方法PGD需738次查询。即使面对150万维的ImageNet数据，SMPack仍保持90%成功率，显著优于OnePixel等基准算法。
3. 防御模型突破：针对经过对抗训练(Adversarial Training)的强化模型，SMPack在MNIST上维持100%成功率，而SimBA等方法的成功率暴跌至84.2%，展现极强的适应能力。

值得注意的是，研究发现MUAPs具有显著的模型家族迁移性——VGG系列生成的扰动对ResNet模型同样有效，但在LeNet等简单模型上表现欠佳，这为模型安全性评估提供了新视角。团队还发现，当扰动预算ε=0.05时，增加MUAPs数量带来的收益呈现边际递减效应，这为实际攻击中的资源分配提供了量化依据。

这项研究的意义不仅在于提出了当前最有效的黑盒攻击方法，更揭示了深度学习模型对抗扰动的本质规律：模型决策边界存在"高敏感通道"，这些通道在不同样本间具有共享特性。该发现为开发新型防御策略提供了靶点，例如可通过监测MUAPs敏感维度来构建早期预警系统。正如研究者所言："对抗攻防如同矛与盾的较量，只有深入了解矛的构造，才能锻造更坚固的盾。"这项发表于《Scientific Reports》的成果，为人工智能安全领域树立了新的研究范式。