随着人脸识别(Face Recognition, FR)技术的广泛应用，社交媒体上的个人隐私正面临前所未有的威胁。现有对抗保护方法如噪声添加和贴片攻击虽能干扰FR系统，但往往导致图像出现明显伪影；而化妆迁移方法虽提升隐蔽性，却会改变用户原始容貌特征。更棘手的是，传统方法在未知目标模型（黑盒条件）下的跨模型迁移能力有限。

为解决这些矛盾，来自中山大学的研究团队在《Neurocomputing》发表研究，提出基于扩散隐空间修饰的对抗人脸生成方法(AFDM)。该方法创新性地利用预训练扩散模型的DDIM反转和采样过程，在隐空间实施对抗优化，配合自注意力结构损失(L_stru)、感知损失(L_perc)和属性损失(L_attr)三重约束，在保持原始面容98%相似度的同时，使对抗样本对ArcFace等6种FR模型的平均攻击成功率达93.32%。

关键技术包括：1) 通过DDIM Inversion将人脸图像编码至隐空间；2) 采用可学习权重调整UNet中的自注意力图以保持结构一致性；3) 利用FaceNet提取的属性嵌入向量增强迁移性；4) 在CeleA-HQ和LADN数据集上验证方法有效性。

【Method】
研究通过DDIM过程迭代优化隐变量z_t，其中自注意力结构损失通过动态加权UNet各层注意力图（式15），有效保留五官空间关系；属性损失则强制对抗样本与目标脸在性别、年龄等38维属性空间对齐（式17），实验显示该设计使跨模型攻击成功率提升12.6%。

【Experimental settings】
在CeleA-HQ的1000张测试图像上，AFDM对商业API（如Face++）的PSR达89.7%，显著高于DiffAM（82.1%）和DFPP（76.5%）。FID评分22.96证明其视觉质量接近真实照片，用户调研显示83%参与者无法辨别对抗样本。

【Ablation studies】
消融实验证实：可学习权重方案比均匀权重PSR提高4.2%；属性损失使LFW数据集上的迁移攻击成功率从80.1%提升至91.3%；当DDIM步骤从50缩减至20时，生成速度提升2.5倍而PSR仅下降3.8%。

该研究突破性地将扩散模型的生成优势与对抗攻击需求结合，首次实现"肉眼不可察、算法难识别"的隐私保护效果。其提出的隐空间优化框架为AI安全领域开辟新路径，属性迁移机制更启示跨模型泛化能力的本质可能源于高层语义特征对齐。团队已开源代码以促进医疗影像等敏感领域的隐私保护应用。