随着人工智能的发展以及日益增长的生产生活需求,基于深度学习技术的深度神经网络模型受到更加广泛的关注。在图像识别、智能语音系统、自动驾驶及智能家居等许多和人们生活密切相关的应用中,神经网络模型成为解决许多具有挑战性任务的首选工具。为了更好地将其应用于实际场景中,针对人工智能的鲁棒性问题研究尤为重要。对抗攻击是衡量神经网络模型鲁棒性的重要手段,具有充足理论基础和广阔的适用范围。黑盒对抗攻击在白盒对抗攻击的基础上隐藏了部分学习网络系统的信息情况,有助于进一步挖掘网络模型底层逻辑和潜在特征,提高现实网络的鲁棒性,更加具有现实部署的意义。当下,针对黑盒对抗攻击的研究主要集中在基于分数机制的攻击方式,即:已知神经网络模型的置信度分数输出信息来对模型进行攻击。目前,这种攻击通常依赖于替代模型或梯度估计方法来生成对抗样本。这意味着想要生成更加逼真,模型难以察觉的恶意样本,不可避免地需要大量地对目标模型进行不断查询来优化生成的扰动。在本文中,针对过多查询次数影响在实际场景中黑盒攻击效果的问题,提出了基于贝叶斯优化的黑盒迁移攻击方法（Bayesian Optimization Adversarial Attack With Transfer Priors,BO-ATP）,一种结合了迁移攻击和贝叶斯优化策略的无梯度基于分数机制的攻击方法。在本文的方法中,使用预训练的生成器来学习可迁移扰动作为起点。在这个基础上,在生成器的低维潜在空间中利用贝叶斯优化的方法进行迭代搜索以找到最优扰动噪声,生成符合攻击要求的对抗样本。该方法与依赖于局部梯度估计的基于梯度的方法不同,在搜索过程中,攻击充分利用从前一个查询中获得的先验信息来采样下一个最佳扰动点,而不是仅仅随机采样多个点来估计梯度大小。通过在三个标准数据集——MNIST、CIFAR-10和Image Net上评估l∞范数约束下无目标和有目标的基于分数机制的黑盒攻击来证明所提出攻击方法的有效性。结果表明,本文所提出的攻击可以大大提高黑盒攻击的查询效率。与当前先进的基于分数机制的黑盒对抗攻击相比,所提出的攻击方法的查询效率要高出5-10倍,更接近于实际神经网络模型攻击的应用。