本文提出了一种名为BAAA（Budget-Aware Adaptive Adversarial Patches）的新型黑盒对抗性补丁攻击方法，针对现代目标检测器（如YOLOv5、Faster R-CNN、YOLOS）。现有对抗性补丁攻击存在三个主要不足：1）在严格查询预算下，联合优化补丁位置、纹理和大小的基于评分的黑盒攻击较少；2）攻击成功与否很少与补丁的视觉占用面积（footprint）关联；3）评估常混淆EOT（期望变换）鲁棒性与纯图像抑制。BAAA结合了上下文Thompson采样定位器（Contextual Thompson-Sampling placer）和NES风格像素更新，并自适应地扩大补丁大小（仅在优化停滞时增长）。评估采用严格的纯图像抑制测试，EOT仅用于审计而非成功标准，并引入可选的外观/可打印性权重以揭示强度-可见性权衡。实验表明，BAAA在CNN-based检测器上实现强抑制，在transformer-based检测器上实现显著抑制，且相比固定尺寸和启发式基线，清晰展示了查询-占用面积权衡。物理打印-拍摄实验进一步验证了跨未见物理对象和视角的迁移性。本文适合AI安全研究者、对抗性攻击防御者及目标检测系统开发者阅读。

本文提出了一种名为DRMI（基于互信息的数据集缩减技术）的方法，旨在优化黑盒攻击中的数据集使用效率。在黑盒攻击场景下，攻击者需要频繁查询目标模型以生成对抗样本，而数据集规模直接影响查询开销和攻击速度。DRMI通过计算样本与标签之间的互信息，量化每个样本对攻击成功率的贡献，从而筛选出最具代表性的子集，有效压缩训练数据集的大小。实验采用多种黑盒攻击算法（如遗传算法、基于梯度的替代方法）在CIFAR-10、ImageNet等标准数据集上进行验证，结果显示DRMI在缩减数据集至原规模的10%-30%时，仍能保持相近的攻击成功率（平均下降不超过2%），同时显著降低查询次数和时间成本。该方法的核心优势在于无需访问模型内部结构，适用于任意黑盒攻击流水线，并可作为预处理步骤集成到现有工具中。论文还探讨了不同互信息估计器的选择对结果的影响，并与随机采样、基于梯度的重要性采样等方法进行了对比，证明了DRMI在保持攻击效果方面的优越性。