🟡 🛡️ 安全 发布于: · 2 分钟阅读 ·

arXiv:2607.09532:深度神经网络中统计上不可检测的后门(ICML 2026)

arXiv:2607.09532 ↗

编辑插图:嵌入神经网络中的后门攻击示意图,对检查员不可见

Bogdanov、Rosen和Vafa在ICML 2026上证明,即使在白盒场景下——拥有对模型所有权重的完全访问权限——后门也可以嵌入深度前馈网络中,使其在统计上无法被检测。密码学证明确认了模型训练者与使用者之间存在根本性的不对称性。

🤖

本文由人工智能基于一手来源生成。

三位研究人员——Bogdanov、Rosen和Vafa——被ICML 2026接收的论文带来了AI安全领域最令人担忧的形式化结果之一:一项数学证明表明,即使检查员可以完全访问模型的所有参数,深度神经网络中的后门也可以在统计上无法检测。

什么是后门和白盒,为什么这项研究重要?

后门是故意嵌入机器学习模型中的隐藏漏洞——攻击者训练模型,使其对所有标准输入正常运行,但以可预测且对攻击者有用的方式响应特定的隐藏触发器。白盒场景是指检查员、监管机构或用户完全访问模型所有权重和架构的情况——与只能看到输入和输出的黑盒访问相反。

迄今为止,人们认为白盒检查提供了强大的保护:如果你能看到一切,你就能找到可疑的模式。Bogdanov、Rosen和Vafa证明这并不正确。

攻击机制和密码学基础

作者构建的后门使攻击者能够生成「基于不变性的对抗样本」——这些对抗样本对所有观察者(除了拥有密钥的攻击者)来说与合法输入无法区分。与改变输入至可见性边界的经典对抗攻击不同,这些样本在统计上看起来像正常数据。

关键的密码学证明是:在不了解后门的情况下,在标准密码学假设下(如因式分解或离散对数问题的难度),在多项式时间内生成这样的对抗样本是不可能的。这使得后门成为不对称武器——拥有密钥的攻击者拥有合法用户既无法复制也无法统计检测的能力。

训练者与用户之间的根本权力不对称

这项研究最广泛的结论不是技术性的,而是结构性的:训练模型的人拥有用户无论拥有多少检查资源都无法达到的能力。这种不对称性无法通过后处理检测工具来弥补,因为在给定假设下,数学上已证明此类工具无法存在。

在实践中,这意味着使用由第三方训练的模型的组织——这涵盖了几乎所有商业AI用户——无论技术检查深度如何,都无法确定他们使用的模型是干净的。作者没有提出具体的解决方案,而是呼吁社区重新审视关于AI模型供应链安全的假设。

常见问题

为什么即使检查员能看到所有模型权重,这个后门仍然无法检测?
后门在统计上与正常模型无法区分,因为它不会以标准检查方法能识别的方式改变权重分布——该攻击被设计成在白盒检查中看起来与合法训练完全相同。
密码学证明在神经网络后门背景下意味着什么?
作者证明,在没有后门的情况下,在多项式时间内生成对应的对抗样本是不可能的,这依赖于标准密码学假设——这为攻击者提供了正式的安全性,同时也正式确认了防御的无能为力。

📬 AI 新闻直达您的邮箱

按您的方式定制每日摘要——自选主题、来源和频率,一键退订。