该论文深入研究了深度神经网络（DNN）中对抗样本的可迁移性问题。传统的对抗样本攻击中，攻击者使用白盒替代模型生成对抗样本，这些样本能够欺骗其他不同架构的黑盒模型。尽管已有大量实证研究提供了生成高可迁移性对抗样本的指导，但许多发现缺乏理论解释，甚至给出矛盾的建议。本文聚焦于替代模型的特性，从“微鲁棒性”（little robustness）现象出发——即用轻微扰动对抗样本进行对抗训练的模型反而能作为更好的替代模型来发起迁移攻击。作者将此归因于模型平滑度（model smoothness）和梯度相似性（gradient similarity）之间的权衡，并强调两者对可迁移性的联合效应，而非单独影响。通过理论分析和实证研究，他们假设对抗训练中由离流形（off-manifold）样本引起的数据分布偏移是损害梯度相似性的原因。基于此，进一步探讨了常见数据增强和梯度正则化对可迁移性的影响，分析了不同训练方法中权衡的表现，构建了可迁移性调节机制的综合蓝图。最后，提出一种通用路线来构建优质替代模型以提升可迁移性，即同时优化模型平滑度和梯度相似性，例如结合输入梯度正则化和锐度感知最小化（SAM），并通过大量实验验证。总结来说，论文呼吁关注这两个因素对发起有效迁移攻击的联合影响，而非单独优化其中一个，并强调操纵替代模型的关键作用。适合从事对抗机器学习、模型鲁棒性研究的学者和工程师阅读。

本文系统研究了视觉语言模型（VLM）在自动驾驶场景中的对抗性迁移性。随着VLM在自动驾驶中的应用日益广泛，其结合视觉感知与语言推理的能力提升了可解释性，但物理世界对抗攻击的迁移性风险尚未被充分探索。本文针对三种代表性VLM架构（Dolphins、OmniDrive、LeapVAD），在十字路口和高速公路两种场景下，使用可物理实现的补丁攻击（放置于路边基础设施）进行跨架构迁移性评估。实验通过迁移矩阵评估，发现跨架构攻击具有高有效性：十字路口场景的迁移率为73-91%（平均0.815），高速公路场景为73-91%（平均0.833）。即使在补丁未针对目标模型优化的情况下，攻击在64.7-79.4%的关键决策窗口内仍能持续操控帧级输出。结果表明，攻击者无需知道目标车辆的具体模型，即可利用可迁移的物理补丁干扰VLM决策，对自动驾驶安全构成严重威胁。本研究首次量化了VLM在自动驾驶中的对抗迁移性，揭示了跨架构攻击的实际风险。