🟡 🛡️ Sigurnost Objavljeno: · 2 min čitanja ·

arXiv:2607.09532: statistički nedetektabilni backdoori u dubokim neuronskim mrežama (ICML 2026)

arXiv:2607.09532 ↗

Editorial ilustracija: shematski prikaz backdoor napada ugradaenog u neuronsku mrežu nevidljivog inspektoru

Bogdanov, Rosen i Vafa dokazali su na ICML 2026 da se backdoor može ugraditi u duboke feedforward mreže tako da bude statistički nedetektabilan čak i u white-box scenariju — uz puni pristup svim težinama modela. Kriptografski dokaz potvrđuje fundamentalnu asimetriju između trenera i korisnika modela.

🤖

Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.

Rad trojice istraživača — Bogdanova, Rosena i Vafe — prihvaćen na ICML 2026 donosi jedan od najzabrinjavajućih formalnih rezultata u AI sigurnosti: matematički dokaz da backdoor u dubokim neuronskim mrežama može biti statistički nedetektabilan čak i kad inspektor ima potpun uvid u sve parametre modela.

Što su backdoor i white-box, i zašto je ovaj rad važan?

Backdoor je skrivena ranjivost namjerno ugrađena u model za strojno učenje — napadač trenira model tako da se ponaša normalno za sve standardne ulaze, ali reagira na specifični skriveni okidač (trigger) na predvidljiv i napadaču koristan način. White-box scenarij označava situaciju u kojoj inspektor, regulator ili korisnik ima potpun pristup svim težinama i arhitekturi modela — suprotno od black-box pristupa gdje se vidi samo ulaz i izlaz.

Do sada se smatralo da white-box inspekcija pruža robusnu zaštitu: ako vidiš sve, možeš pronaći sumnjive obrasce. Bogdanov, Rosen i Vafa dokazuju da ovo nije točno.

Mehanizam napada i kriptografski temelj

Backdoor koji autori konstruiraju daje napadaču sposobnost generiranja “invariance-based adversarial examples” — adversarijalnih primjera koji su nerazlučivi od legitimnih ulaza za sve promatrače osim napadača s tajnim ključem. Za razliku od klasičnih adversarijalnih napada koji mijenjaju ulaz do granice vidljivosti, ovi primjeri statistički izgledaju kao normalni podaci.

Ključni kriptografski dokaz glasi: bez poznavanja backdoora nije moguće generirati takve adversarijalne primjere u polinomijalnom vremenu, pod standardnim kriptografskim pretpostavkama (npr. teškoća problema faktorizacije ili diskretnog logaritma). Ovo backdoor čini asimetričnim oružjem — napadač s tajnim ključem ima sposobnosti koje legitimni korisnik ne može replicirati ni statistički detektirati.

Fundamentalna asimetrija moći između trenera i korisnika

Najširi zaključak rada nije tehnički, već strukturni: onaj tko trenira model posjeduje sposobnosti koje korisnik, neovisno o resursima za inspekciju, ne može dosegnuti. Ova asimetrija nije zakrpiva postprocesnim alatima za detekciju jer je matematički dokazano da takvi alati ne mogu postojati pod danim pretpostavkama.

U praksi to znači da organizacije koje primjenjuju modele trenirane od strane trećih strana — što obuhvaća gotovo sve komercijalne AI korisnike — ne mogu biti sigurne da su modeli koje koriste čisti, bez obzira na dubinu tehničke inspekcije. Autori ne predlažu konkretno rješenje, već pozivaju zajednicu na preispitivanje pretpostavki o sigurnosti lanaca opskrbe AI modelima.

Česta pitanja

Zašto je ovaj backdoor nedetektabilan čak i kad inspektor vidi sve težine modela?
Backdoor je statistički nerazlučiv od normalnog modela jer ne mijenja raspodjelu težina na način koji bi standardne inspekcijske metode mogle identificirati — napad je osmišljen da izgleda identično legitimnom treniranju u white-box pregledu.
Što znači kriptografski dokaz u kontekstu backdoora u neuronskim mrežama?
Autori dokazuju da bez backdoora nije moguće generirati odgovarajuće adversarijalne primjere u polinomijalnom vremenu, oslanjajući se na standardne kriptografske pretpostavke — što daje formalnu sigurnost napadaču, ali i formalno potvrđuje bespomoćnost obrane.

📬 AI vijesti u tvoj inbox

Dnevni digest po tvojoj mjeri — biraš teme, izvore i ritam. Odjava jednim klikom.