本文提出 MIRAGE 框架，用于系统性地发现针对自动驾驶在线高清地图构建的语义攻击。自动驾驶车辆依赖高清地图感知车道线、分隔带、人行横道等安全关键元素，现有像素扰动攻击易被标准对抗防御（如对抗训练）中和。MIRAGE 利用扩散模型学习到的真实数据潜流形，搜索与真实场景具有相同道路拓扑但能误导地图预测的语义突变场景，例如阴影、湿滑路面等合法环境变化。在 nuScenes 数据集上评估了两种攻击：边界移除攻击抑制 57.7% 的检测结果，导致 96% 的规划轨迹被破坏；边界注入攻击是唯一能成功注入虚拟边界的方法，而像素级 PGD 和 AdvPatch 完全失败。两种攻击在多种对抗防御下仍保持有效性。通过两个独立 VLM 评判员量化真实感，MIRAGE 生成场景有 80–84% 的概率被认为真实（干净 nuScenes 为 97–99%，AdvPatch 仅 0–9%）。实验表明，语义级扰动作为合法的环境变化，比像素级扰动更难防御，揭示了当前对抗防御的类别性缺陷。

本文提出了一种名为 diffGHOST 的基于扩散模型的条件生成框架，用于合成移动轨迹数据，旨在解决轨迹数据在共享和利用过程中的隐私泄露问题。传统的轨迹合成方法往往隐式地假设生成模型具有隐私保护能力，但缺乏严格的隐私保证，且容易在生成的轨迹中记忆敏感样本。diffGHOST 通过引入潜在空间分割（latent space segmentation）机制，在扩散模型的训练和采样过程中识别并缓解对关键样本的记忆，从而在保证合成轨迹数据实用性的同时提供可证明的隐私保护。具体地，模型将轨迹数据编码到潜在空间，然后根据条件信息（如时间、区域等）分割潜在空间，并在每个片段上独立进行扩散和去噪过程，使得模型能够学习到分布特征而不过度拟合个别样本。实验在多个真实轨迹数据集上进行，结果表明 diffGHOST 在保持高轨迹实用性的同时，显著降低了隐私泄露风险，优于现有的生成对抗网络和变分自编码器基线方法。该工作为隐私保护下的移动数据分析提供了一种通用且有效的解决方案。

本文针对生成式图像模型（特别是扩散模型）中的种子基水印技术，提出了一套从第一性原理出发的安全水印框架。当前的水印评估主要依赖经验实验，严重受限于具体的生成与反演模型架构，导致无法对方法的性能（尤其是安全性）进行严格结论，且缺乏统一的安全性定义。作者主张水印方案的有效性应通过彻底的理论分析来确立，为此提出了将模型依赖部分与水印系统的实际决策机制解耦的思想。基于该解耦，他们构建了一个正式的评估框架，涵盖安全性、鲁棒性和保真度三个维度，并通过一个特征曲面来精确比较不同水印系统在这三者之间的权衡，且该曲面独立于任何生成模型。在此框架下，作者提出了SSB（Secure Seed-Based）水印方法，该方法泛化了以往的种子基水印方案，能够通过调整特征曲面上的参数实现任意安全性-鲁棒性-保真度组合。本文为设计具有理论保证的现代水印系统开辟了道路，无需进行昂贵的经验评估即可获得性能保障。