DuttA 评论中的链接很好地回答了对抗性图像如何生成的更普遍的问题。至于为什么有可能，关键是这些专门的特征检测器实际上只是在提取特征，并且可以构建具有这些特征的图像，而与目标对象完全不相似。

例如，我们可以想象预测枪支图像的关键特征是扳机护罩和枪口等区域。提取的特征实际上只是“带有弯曲位的圆形物体”和“完美的圆形开口”。这些可能很好地预测了一把枪，但也很容易想象，您可以将满足这些标准的形状放置在正确的距离内，而不包括我们期望的任何其他组件。这是您在生成的对抗性图像中实际看到的内容。考虑下面的百吉饼或填字游戏图片。虽然它们实际上不是所讨论对象的图片，但很容易看出网络的重要特征是什么：百吉饼是一个圆形，“ s 在中心有阴影，在中心和边缘之间较亮。它有点橙色。填字游戏是一堆黑色和白色的方块，分布在一个粗略的网格中。可能版权符号或字母 C 也很重要（在许多填字游戏中都可以找到！）。