研究背景与动机方面，图神经网络（GNNs）因其建模关系依赖和整合节点特征与拓扑信息的强大能力，已在图结构数据中得到广泛应用，尤其在节点分类任务中表现突出。然而，近期研究表明，GNNs的性能对分布偏移、校准和结构变化下的不确定性高度敏感。其对拓扑结构的依赖引入了重大安全漏洞：经典投毒攻击表明，少量精心设计的结构扰动即可显著降低预测准确率，而近期研究进一步将此关切扩展至更广泛的投毒、认证和鲁棒性场景。在投毒攻击中，攻击者在训练前操纵图结构，要求防御者净化受损结构、学习鲁棒模型或结合两种策略。现有防御方法大多针对固定投毒设置开发，通常在单一投毒图上进行训练或评估，这种设计在攻击模式固定时有效，但当防御者面临混合扰动预算、针对性攻击与全局攻击或先前未见投毒图时则显脆弱。

基于此，研究人员开发了GADD，一种受博弈启发的对抗蒸馏框架用于鲁棒图防御。与此前要么净化单一图、从固定教师蒸馏知识或用静态规则聚合多模型的防御方法不同，GADD将三种互补机制紧密耦合为协同流水线：首先，从多个投毒图采样正图视图和负图视图，正视图保留结构合理且特征一致的边，负视图保留可能编码对抗扰动的可疑边；其次，在线训练多个轻量级GNN学生模型，采用同伴蒸馏方式，每个学生从其余同伴学习全局预测知识，同时通过对抗循环目标对齐局部结构表示；第三，使用熵正则化聚合规则，基于预测置信度和模型间一致性分配自适应权重，避免推理时的均匀平均。这三个组件并非孤立模块：采样图视图决定蒸馏期间观察到的结构差异，自适应聚合机制持续评估哪些学生成功吸收了来自这些差异的鲁棒知识，使GADD作为动态鲁棒性迁移框架而非传统独立训练的防御集成来运作。

实验在Cora、CiteSeer和PubMed上进行，GADD在Meta和Nettack攻击下持续提升鲁棒性，在高攻击强度下优势尤为明显。额外在ogbn-arxiv上的PGD拓扑攻击和随机边扰动实验表明GADD在大规模图上保持可扩展性。消融研究表明完整模型明显优于移除任一组件的版本；异构学生优于同构学生；单个GCN判别器在实践中已足够。

关键技术方法方面，GADD主要采用以下核心技术：基于同配性感知的图采样生成正/负图视图；在线对抗蒸馏机制，包含全局同伴蒸馏和对抗循环局部蒸馏；熵正则化自适应聚合规则；以及用于对比正负视图表示的判别器。学生模型采用异构架构组合（GCN、GAT、GraphSAGE）。样本队列来源于标准公开的Cora、CiteSeer、PubMed引用网络数据集，以及ogbn-arxiv大规模数据集。

研究结果部分，"主实验结果"表明，Meta攻击下GADD在所有三个数据集表现一致良好，随扰动比率增加降解更慢，Cora上20%和25%扰动分别超出最优基线2.47和2.豆9个百分点；CiteSeer各预算稳定增益0.58-1.70个百分点；PubMed最大增益1.29个百分点出现在Meta-0.20。Nettack攻击下相同模式成立，Cora和PubMed高针对性扰动预算下分离尤为明显，Cora提升0.12-4.58个百分点，CiteSeer提升0.13-2.70个百分点，PubMed提升0.45-2.07个百分点。干净性能上，GADD在无攻击时与最优基线相当或略优，未因过度正则化牺牲准确率。

"消融研究"显示所有组件均贡献鲁棒性但效应各异：移除对抗蒸馏导致最大性能下降，表明图采样 alone 无法有效跨投毒图迁移鲁棒性；移除图采样也明显降解性能，分离可靠与可疑边使学生接触稳定结构和硬扰动案例；替换自适应聚合为均匀平均进一步降低准确率，尤其在强攻击下，证实学生分歧随扰动强度增加而动态加权必要。三模块协同而非独立工作。

"学生数量与类型分析"表明，从一增至三个模型鲁棒性大幅提升，此后增益趋缓；异构学生（GCN+GAT+GraphSAGE）优于同构组，如PubMed上Meta-0.25达85.57%对比同构GCN的84.02%。

"判别器研究"显示单层GCN判别器已足够，Meta-0.25和Nettack-5.0分别达73.62和83.92，增加判别器数量至三个仅边际增益。

"多攻击训练与归纳泛化"表明，PubMed上联合训练五个攻击与单次单攻击训练准确率差仅0.07，总运行时间从211.76秒降至108.53秒；归纳设置下未见图性能接近非归纳设置，提供跨未见投毒图的迁移证据。

"超参数敏感性分析"显示平衡设置（α=β=γ=1）在Cora最优，CiteSeer和PubMed受益于较大α（全局蒸馏主导），增大γ不一致改善性能，暗示过度对抗对齐可能引入不稳定。

"自适应聚合的经验可解释性"分析Cora Meta-0.25下图级别聚合权重，GraphSAGE获最高平均权重0.3933，GCN次之0.3517，GAT最低0.2551，标准差仅0.0030，证实聚合规则为可靠性敏感选择器而非均匀融合。

"额外大规模图评估"在ogbn-arxiv（169,343节点，1,166,243边）上进行，30%和50%扰动下GADD降解率远低于基线，50%扰动下PGD和随机攻击均保持竞争力；GPU内存2805.32 MB，与Jaccard和GARNET接近，低于SimP-GCN，ProGNN出现OOM。

讨论部分，实证证据支持三个结论：正负图采样有效暴露模型于多扰动模式而无需重复端到端重训练；在线对抗蒸馏是消融中最强鲁棒性组件，移除时性能下降最大，强靶向攻击下尤为有益；自适应聚合在学生分歧时至关重要，正是多攻击防御的预期设置。主要局限在于评估范围：当前研究聚焦引用基准上的图修改投毒，更广泛的鲁棒性声明应相应解读。

研究结论方面，本文提出GADD，一种无教师防御框架，结合图采样、在线对抗蒸馏和熵正则化自适应聚合用于鲁棒图防御。该方法直接针对静态防御的局限：它们通常在单一图上训练、假设单一攻击模式、均匀聚合多模型。GADD以多视图采样图、在线同伴蒸馏和自适应加权替代这些假设。跨Meta和Nettack基准，GADD持续提升鲁棒性同时保持干净准确率。ogbn-arxiv上额外实验进一步表明GADD在大规模图上保持有利的鲁棒性-效率权衡。消融研究显示图采样、对抗蒸馏和自适应聚合均对最终鲁棒性有实质性贡献，参数研究表明三个异构学生和单个GCN判别器提供强准确率-效率权衡。当前研究的主要局限在于其范围：尽管包含ogbn-arxiv的大规模评估，主要实验仍集中于引用式基准上的图修改投毒，这为核心设计提供了实证验证，但不足以声称跨所有图领域或攻击家族的鲁棒性。自然下一步是将评估扩展至更多结构多样基准、异配图、动态图及其他投毒设置如后门攻击。