本文提出 AutoDA（Automated Decision-based Iterative Adversarial Attacks），一种自动化决策型迭代对抗攻击方法。传统决策型攻击需要人工设计查询策略和超参数，效率低且泛化性差。AutoDA 通过自动搜索最优的迭代攻击方案，包括步长、扰动方向更新策略等，从而在有限的查询次数内高效生成对抗样本。该方法在黑盒场景下（仅能获得模型最终决策）实现高攻击成功率，同时在ImageNet等大规模数据集上验证了其有效性。实验表明，AutoDA 在攻击成功率和查询效率上均优于现有决策型攻击方法，并揭示了当前深度神经网络在决策级鲁棒性上的脆弱性。

该论文聚焦于决策型黑盒对抗攻击（decision-based black-box adversarial attacks）这一严重安全威胁。现有方法存在根本性局限：像素级攻击常引入不自然的高频视觉伪影，而潜在空间框架受限于低维流形的搜索空间以及固有的重建缺陷。为克服这些问题，作者提出了一种名为Latent Geometric Chords（LGC）的高效查询型决策黑盒对抗攻击方法及其变体LGC-H。LGC的核心是在压缩语义流形内执行曲率感知的几何搜索以导航决策边界。为保证高视觉保真度并规避维度瓶颈，作者引入了基于残差的对抗生成（RAG）机制。RAG将语义扰动隔离为几何弦，并直接叠加到原始源图像上，从而显著改善了基线重建缺陷，并将可搜索空间维度有效翻倍。实验结果表明，LGC具有鲁棒的跨数据集迁移能力，并在多个性能指标上显著优于现有基线方法。具体而言，在5000次查询限制下，LGC实现了最小扰动幅度和最高视觉保真度，结构相似性指数（SSIM）超过0.99，学习感知图像块相似度（LPIPS）低于0.01，同时在严格的感知约束下保持高攻击成功率，成功攻破了经过对抗训练（adversarially trained）的鲁棒模型。该工作对理解黑盒模型的脆弱性以及开发更安全的机器学习系统具有重要意义。