Исследователи представили метод внедрения бэкдоров в глубокие нейронные сети, которые невозможно обнаружить даже при полном доступе к весам модели. Эти вредоносные вставки статистически неотличимы от параметров честно обученных систем, что делает традиционные методы аудита безопасности неэффективными. Уязвимость затрагивает широкий класс архитектур прямого распространения, позволяя злоумышленникам скрыто управлять поведением ИИ.

Проблема заключается в том, что распределение весов в скомпрометированной модели практически идентично распределению в «чистой» модели. В условиях white-box тестирования, когда аудитор имеет полный доступ к архитектуре и параметрам, разница между ними оказывается ниже порога статистической значимости. Это создает серьезные риски для цепочек поставок ИИ, где сторонние разработчики или облачные провайдеры могут предоставлять предобученные модели с «закладками».

Метод опирается на математическую близость распределений, что позволяет бэкдору оставаться невидимым для инструментов статического анализа. Внедренный триггер активирует специфическое поведение модели, не влияя на её точность при выполнении стандартных задач. Это открытие ставит под сомнение надежность использования весов моделей из недоверенных источников без проведения глубокого функционального тестирования.

Ключевые факты

  • Метод позволяет внедрять бэкдоры, которые невозможно выявить путем анализа весов нейросети.
  • Скомпрометированные модели статистически неразличимы от эталонных в метрике total variation distance.
  • Уязвимость применима к широкому классу глубоких нейронных сетей прямого распространения.
  • Исследование демонстрирует принципиальную возможность обхода white-box аудита безопасности.