对抗性攻击通常被建模为对单个样本的逐点扰动，这种方法可能会忽略结构化的分布效应，并且可能会在已经被错误分类的样本上浪费扰动预算。我们研究了一种数据驱动的Wasserstein攻击模型，在该模型中，攻击者在保持标签不变的前提下调整经验分布。基于这一模型，我们推导出了一个有限维的传输替代方法和一个等效的提升方法，明确了传输耦合的作用。随后，我们引入了熵正则化，得到了一个凸优化公式，该公式会对主要放大已经被错误分类样本损失的攻击行为进行惩罚。这导致了一种名为Partial Sinkhorn的迭代算法，该算法结合了凸凹线性化和Sinkhorn类型的更新机制，使得收敛子序列的任何极限点都是惩罚问题的KKT稳定点。在合成数据和MNIST数据集上的实验表明，与FGSM相比，所提出的方法在相同的扰动预算下能够生成更强的攻击。该框架还揭示了对抗性攻击、最优传输和分布鲁棒控制之间的联系。