自 Ian Goodfellow 等研究者发现了可以让图像分类器给出异常结果的「对抗性样本」（adversarial sample）以来，关于对抗性样本的研究越来越多。NIPS 2017 上 Ian Goodfellow 也牵头组织了 Adversarial Attacks and Defences（对抗攻击防御）竞赛，供研究人员、开发人员们在实际的攻防比拼中加深对对抗性样本现象和相关技术手段的理解。其中清华大学智能技术与系统国家重点实验室课题组张钹院士领导的课题组，由博士生董胤蓬、廖方舟、庞天宇及指导老师朱军、胡晓林、李建民、苏航组成的TSAIL团队在竞赛中的全部三个项目中获得冠军。

这是三个任务分别是：无目标对抗攻击，参赛者需提交无目标黑盒攻击方法；

有目标对抗攻击，参赛者需提交有目标黑盒攻击方法；针对对抗攻击的防御，参赛者需提交一个对对抗样本鲁棒的分类器。

对于每个提交的结果，评估程序会以每批100张图片作为输入。为了限制提交的结果所需的计算资源，举办方规定每批中的100张图片需要在500秒之内处理完毕，如果500秒之内没有处理完毕，那么当前批的处理程序会被中断，并将下一批的100张图像输入。只有成功处理好的图片才被计入得分。

直到比赛结束，举办方共收到91个无目标对抗攻击的提交结果，65个有目标对抗攻击的提交结果和107个防御方提交的结果。TSAIL团队在全部三项任务中获得冠军。