Model Reconstruction Using Counterfactual Explanations: Mitigating the Decision Boundary Shift

计数事实解释找到了实现有利模型结果的最小输入扰动的方法。然而，计数事实解释也可以被利用来窃取模型，通过有策略地训练一个替代模型来给出与原始（目标）模型相似的预测。在这项工作中，我们通过利用计数事实解释也非常接近决策边界来调查模型提取。我们提出了一种新的模型提取策略，称为计数事实钳制攻击（CCA），它使用一种独特的损失函数训练替代模型，该函数将计数事实与普通实例区别对待。我们的方法还缓解了现有模型提取攻击中出现的决策边界漂移问题，这些攻击将计数事实视为普通实例。我们还通过多面体理论推导出了模型逼近误差与查询数量之间的新数学关系。实验结果表明，我们的策略在几个真实世界数据集上提供了目标和替代模型预测之间更好的保真度。

该论文旨在研究如何利用反事实解释来进行模型抽取攻击。具体而言，作者提出了一种名为Counterfactual Clamping Attack（CCA）的新策略，该策略可以训练一个替代模型，使其与原模型的预测结果相似。

该论文的关键思路是使用反事实解释来进行模型抽取攻击，并提出了一种新的策略——Counterfactual Clamping Attack（CCA），该策略可以训练一个替代模型，使其与原模型的预测结果相似。与现有的模型抽取攻击相比，该策略还可以缓解决策边界偏移的问题。

该论文的实验结果表明，CCA策略可以在多个真实世界数据集上提供更好的目标和替代模型预测的准确性。此外，该论文还使用多面体理论推导了模型逼近误差与查询数量之间的新数学关系。

在这个领域中，最近还有一些相关的研究，如“Model Extraction Attacks with Limited Queries using Decision Boundary Gradient Estimation”和“Practical Model Extraction Attacks on Deep Neural Networks via Transfer Learning”。