该论文提出了 GraphIP-Bench，一个用于系统评估图神经网络（GNN）模型窃取攻击与防御的统一基准。作者指出，现有研究因数据集、威胁模型和评估指标不一致而无法回答“窃取GNN有多难”以及“能否阻止”这两个关键问题。GraphIP-Bench 在统一的黑盒协议下集成了12种模型提取攻击、12种防御方法（涵盖水印、输出扰动和查询模式检测三类）、10个公开图数据集（包含同质、异质和大规模图）、3种GNN骨干网络和3种图学习任务，并报告了保真度、任务效用、所有权验证和计算成本等指标。此外，还增加了联合攻击-防御赛道，对每个受保护目标运行所有攻击，并测量提取后替代模型上的水印验证效果。实验结果表明：在中等查询预算下，窃取GNN很容易，且大多数防御未能改变这一现状；多种水印在受保护模型上可靠验证，但在提取的替代模型上几乎失去验证信号，这暴露了单一模型评估遗漏的漏洞；异质图更难以窃取，而目标与替代模型之间的跨架构不匹配会降低但无法阻止提取。论文提供了开源代码。该研究对安全从业者理解GNN模型窃取风险及评估防御有效性具有重要参考价值。

本文提出了一种名为DRMI（基于互信息的数据集缩减技术）的方法，旨在优化黑盒攻击中的数据集使用效率。在黑盒攻击场景下，攻击者需要频繁查询目标模型以生成对抗样本，而数据集规模直接影响查询开销和攻击速度。DRMI通过计算样本与标签之间的互信息，量化每个样本对攻击成功率的贡献，从而筛选出最具代表性的子集，有效压缩训练数据集的大小。实验采用多种黑盒攻击算法（如遗传算法、基于梯度的替代方法）在CIFAR-10、ImageNet等标准数据集上进行验证，结果显示DRMI在缩减数据集至原规模的10%-30%时，仍能保持相近的攻击成功率（平均下降不超过2%），同时显著降低查询次数和时间成本。该方法的核心优势在于无需访问模型内部结构，适用于任意黑盒攻击流水线，并可作为预处理步骤集成到现有工具中。论文还探讨了不同互信息估计器的选择对结果的影响，并与随机采样、基于梯度的重要性采样等方法进行了对比，证明了DRMI在保持攻击效果方面的优越性。

机器学习中的后门攻击旨在通过向训练数据中植入恶意样本，使模型在遇到特定触发器时产生攻击者指定的输出。现有研究多聚焦于图像等同质数据，而表格数据因同时包含数值和类别特征，其异构性使得攻击设计更具挑战。本文提出CatBack，一种针对表格数据的通用后门攻击方法。核心创新在于提出一种新的类别特征编码技术：将类别值转换为浮点数表示（而非传统的独热或序数编码），该编码能保留足够信息以保证正常模型的准确率。基于此编码，攻击者可以构建一个基于梯度的通用扰动，该扰动可同时作用于数值和类别特征，形成统一的触发器。在训练阶段，将带有此扰动的样本（后门样本）注入训练集，并标记为攻击目标标签；模型学习后，任何输入若被施加该通用扰动，都会预测为目标标签。作者在5个数据集（涵盖分类与回归任务）和4种流行模型（如决策树、神经网络等）上评估了CatBack，实验显示无论在白盒还是黑盒设置（包括在Google Vertex AI平台上）下，攻击成功率均高达100%。更关键的是，该方法能有效绕过现有多种防御机制，包括Spectral Signatures、Neural Cleanse、Beatrix和Fine-Pruning，以及常见的异常检测方法（如孤立森林）。与已有工作Tabdoor相比，CatBack在攻击成功率、隐蔽性和通用性上均有显著提升。本文揭示了表格数据在机器学习安全中的一个严重脆弱性，表明传统的防御手段在此类新型攻击面前失效，亟需针对异构数据设计更鲁棒的防御方案。