入力画像に対して事前学習済の分類器を用いて計算された敵対的摂動を加え、生成されたAEsを正しく分類するように２つ目の分類器を学習するという新しい防御手法を提案している点。(Adversarial Training (AT)と異なり２つの異なる分類器を使用している。)

CIFAR-10、Tiny ImageNetを用いた実験では、white-boxの設定で通常のPGD-ATと比較して頑健性が大きく向上。また、学習コストもATと比較して小さい。一方で、通常の画像の精度はPGD-ATと同程度に低下してしまう。

敵対的摂動を防御に有効活用するというアイデアの斬新さ。