近些年来,神经网络由于其对大量数据的学习能力而受到了学术界和工业界的热捧。在计算机视觉领域,通过对来自物理世界的干净图片添加细小的扰动就可以使得神经网络的识别能力完全失效。包括无人驾驶,人脸识别等神经网络的应用都受到了巨大的威胁。从2013年开始就有对抗样本的研究,关于新的更具威胁的对抗样本和如何抵御未知和现有的对抗样本的研究近些年来也是较为火热的话题。但是现有的关于对抗样本的应用与研究,大都是关于分类网络和提升网络鲁棒性方面的,对于对抗样本的隐藏信息的特性却没有太多的研究。而且对于对抗样本的认知,大都认为其是一种深度神经网络的缺陷。本论文主要利用与研究三个有关对抗样本的特性,来完成相关工作的研究。这三个特性分别是:对抗样本具有信息隐藏的性质;现有攻击算法在有目标黑盒场景中难以产生具有迁移性的对抗样本;生成式神经网络也具有对抗样本。在这个基础上,本文的主要贡献有三部分:第一部分,本文提出对抗样本的存在不仅仅是一种神经网络的缺陷。由于对抗样本具有信息隐藏的特性,而且攻击算法大都欠缺可迁移性。利用这些对抗样本的特性,可以将其转化为一种很安全的隐写通信算法。这种隐写通信算法使用对抗样本作为信息载体,与计算机编码结合,使用特定的神经网络与特定的编码规则作为密钥。将这种算法嵌入到视频等载体中,可以携带数量巨大的字符。本文还分析了破解这种对抗样本隐写通信算法需要的工作。实验结果显示,这种方法完全可行。对抗样本不具备传统隐写术的统计特性,对于深度学习隐写分析工具来说难以识别是否存在隐写。第二部分,本文提出了变分自编码器的无限制对抗样本。传统的对抗样本通过叠加梯度的方式在干净图片上添加扰动,对于人类视觉来说仍然具备不规则的纹路或噪点。无限制对抗样本是使用GAN生成的对抗样本,这种对抗样本在人类视觉看起来不具备基于扰动的对抗样本的噪声。学术界已有的相关工作分别为变分自编码器的基于扰动的对抗样本、判别式网络的无限制对抗样本。本文提出的这种变分自编码器的无限制对抗样本,在经变分自编码器重构前后都具有清晰的图像,且对于MNIST数据集来说,不具备基于扰动的对抗样本那种大范围可见的扰动。这种对抗样本与本文第一部分工作结合,同样可以作为一种加密通信方法。第三部分,本文分析了传统基于梯度的方法存在饱和性的问题,通过引入知识蒸馏提升了基于梯度的方法的有目标黑盒迁移性。这种方法对于任何使用softmax的对抗攻击方法都可以简单的移植。实验表明,这种方法可以与某些已有的提升迁移性的方法结合。对于MI-FGSM方法来说,可以提升30%～50%左右的迁移性。这种方法帮助我们在IJCAI-19对抗样本挑战赛中获得了季军,实践中也证明是有效的。