在人工智能安全领域，深度神经网络的对抗脆弱性犹如悬顶之剑——即使最先进的图像分类系统，也可能被精心设计的像素级扰动所愚弄。这种安全隐患在自动驾驶等关键场景中尤为致命。传统人工神经网络(ANN)的防御策略往往以牺牲计算效率为代价，而新兴的脉冲神经网络(SNN)虽具有生物启发的能效优势，却同样面临对抗攻击的威胁。更棘手的是，现有防御方法多聚焦于权重或归一化层的随机化，忽视了生物神经元固有的异质性特征。

中国科学院自动化研究所类脑认知智能团队独辟蹊径，从神经科学的两个核心特征获得灵感：皮层神经元的参数异质性和信息处理的随机性。研究团队提出随机异质性脉冲神经网络(RandHet-SNN)，通过将LIF(Leaky Integrate-and-Fire)神经元的时间常数τ改造为随机变量，构建出动态变化的防御屏障。这项创新成果发表于《iScience》，不仅刷新了SNN对抗鲁棒性的性能记录，更开辟了"神经形态安全计算"的新研究方向。

研究团队采用三项关键技术：1)基于SEW-ResNet19架构构建基础SNN模型；2)设计双模式随机采样机制（逐时间步采样RandHet-SNN与逐前向传播采样RandHet-SNN*）；3)结合黑盒对抗训练策略(RAT)与期望过变换(EOT)评估框架。实验使用CIFAR-10/100和TinyImageNet数据集，对比FGSM、PGD¹⁰等六种攻击方法，通过梯度余弦相似度分析揭示防御机理。

随机异质性脉冲神经网络
通过将LIF神经元的τ参数设为服从正态分布N(0,σ²)的随机变量，经Sigmoid函数映射至(0,1)区间。这种设计使网络在每次前向传播时产生结构变异，如图1B所示。与固定τ的SNN相比，RandHet-SNN的神经元放电模式展现出与生物神经元相似的试次间变异性（图2A），当σ²=1.5时时间常数接近均匀分布（图2B）。

性能表现
在CIFAR-10数据集上，RandHet-SNN*+RAT组合取得最佳平衡：清洁准确率89.88%的同时，对AutoAttack的鲁棒准确率达51.57%，较基线SNN提升22.28%（表1）。值得注意的是，随着EOT攻击步数增加，RandHet-SNN的鲁棒准确率稳定在38%以上，显著高于普通SNN的26.44%（图3）。在TinyImageNet上的跨数据集测试中，其清洁准确率优势达9.11%（表2）。

梯度分析
关键发现来自梯度余弦相似度研究：当σ²=1时，对抗扰动间的平均相似度仅0.366，导致PGD^EOT10攻击成功率下降63.5%（图5C-D）。如表6所示，增大σ²可进一步降低相似度，但会带来3.99%的清洁准确率代价。

计算效率
时间步长T=8时，RandHet-SNN推理耗时增加25%，内存占用增长23.6%（表8）。但通过调整T=4，可在保持40.13%鲁棒准确率的同时，将推理速度提升50%（表9）。

这项研究证实，神经元参数随机化比确定性异质性(Het-SNN)更能有效提升鲁棒性（表7）。与ANN随机化方法相比，RandHet-SNN在PGD²⁰攻击下的性能优势达3.35%，且EOT攻击下的性能下降幅度最小（表3）。研究同时发现，浅层神经元的随机化对防御效果贡献最大（表4）。

该成果的重要意义在于：1)首次将生物神经元的异质性与随机性统一为对抗防御机制；2)提出可兼容神经形态硬件的轻量级防御方案；3)为理解神经系统鲁棒性提供计算模型支撑。局限性体现在σ参数需手动设定，未来可通过强化学习优化分层随机策略。这项工作架起了生物启发放障与工程实现之间的桥梁，为发展既安全又节能的第三代人工智能奠定了关键技术基础。