深度神经网络（DNNs），特别是卷积神经网络（CNNs）和视觉变换器（ViTs），在图像识别和视频分析等关键视觉任务中取得了显著成功[1]，[2]。然而，这些模型的广泛采用也暴露了它们的内在安全风险。它们对精心设计的对抗性样本（AEs）[3]，[4]，[5]，[6]具有极高的脆弱性，这可能导致模型在安全关键场景中做出灾难性的错误分类。因此，深入理解和评估这些先进模型的内在脆弱性已成为学术研究和实际应用中的紧迫问题。

在各种攻击方式中，基于迁移的攻击[7]，[8]，[9]因其实际威胁性而受到广泛关注，因为它们可以在不接触目标模型的情况下实施有效攻击。尽管现有工作在提高AEs的迁移能力方面取得了显著进展，但这些研究主要局限于同类架构。一部分研究专注于提高CNN模型之间的迁移能力[7]，[9]，而另一项新兴研究领域则集中在ViTs之间的迁移攻击[10]，[11]。然而，一个长期且更具挑战性的问题是异构架构之间的迁移问题。在本文中，我们将异构迁移能力定义为在一种架构家族的替代模型上制作的AEs成功欺骗另一种架构家族的目标模型的能力（例如，CNN → ViT）。实际上，这种异构迁移的成功率明显低于同家族内的迁移，这阻碍了我们对不同架构是否具有可利用的、与模型无关的弱点的理解。

据我们所知，针对异构模型的攻击研究仍然不足。尽管模型增强[9]可以通过输入转换模拟相似架构的决策空间，但现有的基于输入转换的攻击方法未能有效提高异构模型之间的迁移能力。一个核心原因是异构架构编码了不同的归纳偏见，因此依赖于不同的视觉线索：CNN由于局部卷积而更倾向于纹理偏见，而ViT由于全局自注意力而更倾向于形状/结构偏见[12]，[13]。因此，在替代模型上优化的扰动容易过度适应替代模型特定的线索，导致跨架构迁移时的泛化能力较弱[14]。如图1所示，基于自然先验的传统变换（如裁剪、平移和缩放）仅对图像进行简单调整，无法迫使具有不同架构的模型放弃其固有的识别逻辑。特别是像平移[8]和缩放[9]这样的方法是基于卷积操作的平移和尺度不变性设计的。因此，它们对跨异构架构的泛化帮助有限。较新的基于几何的变换（如BSR [15]，DeCoWA [14]）仍然主要在2D欧几里得先验下操作，难以模拟由3D相机或物体运动引起的真实世界视觉感知中的视角变化。这种视角限制了增强样本的多样性，从而限制了跨架构不变线索的发现。此外，某些变换可能会破坏物体的完整性（例如，破坏全局拓扑[15]），这会使攻击偏向于分散的局部伪影，而不是语义上有意义的结构，进一步削弱了异构迁移能力。基于上述分析，从输入转换的角度来看，我们观察到莫比乌斯变换[16]可以在温和地变形物体部分的粗略全局布局的同时生成多样的视角变化。这种近似保持结构的视角增强鼓励攻击捕捉更深层次的、视角不变的对象结构特征，从而可能提高跨异构架构的迁移能力。如图2所示，异构模型的梯度显著性图可视化揭示了一个关键现象：尽管架构不同，模型在关注对象的高级语义特征方面表现出高度的一致性。这一观察进一步支持了我们的假设，即视角不变的结构线索可以作为跨架构迁移攻击的桥梁。

因此，我们引入了一种新颖且通用的输入转换方法，称为受限莫比乌斯变换，即一类作为可控视角类非线性变形的共形映射，用于探测和攻击异构模型在视角不变性方面的共同弱点。在连续域中，莫比乌斯变换是保持拓扑的同胚映射，可以在不撕裂或折叠底层物体的情况下生成丰富的视角多样性。然而，在实际实现中，它们是通过插值和填充在有限像素网格上实现的离散图像变形，因此严格的拓扑不变性（例如，细结构的精确连通性）不再得到理论保证。鉴于此，CMA限制了变换参数，以引入足够改变局部外观和背景上下文的视角变化，同时在目标分辨率下尽可能保持物体核心部分的感知组织。在这种受限变换下，核心组成部分及其相对排列通常保持稳定，这鼓励攻击超越表面的、可变的线索，利用跨架构的更深层次的、共享的结构不变性。由于不受限制的莫比乌斯映射可能会引入过度变形和语义不一致性，我们进一步施加了明确的变形约束，以平衡视角多样性和标签保留。

•

据我们所知，这是旨在提高跨异构模型迁移能力的开创性工作之一。

•

我们对异构模型攻击任务进行了系统分析，发现先前方法中的AEs未能解决视角依赖性问题，限制了它们挖掘通用结构特征的能力，从而限制了迁移能力。

•

受限莫比乌斯攻击（CMA）通过将莫比乌斯变换集成到基于梯度的攻击方法中来提出。据我们所知，这是首次利用莫比乌斯变换进行对抗性攻击的工作，其核心目标是针对异构模型在视角不变性方面的共同弱点。

•

广泛的实验表明，CMA在多种异构黑盒迁移场景中始终优于领先的基线方法。