该论文研究联邦学习（FL）下基于大型语言模型（LLM）的问答（QA）系统中的后门攻击。在联邦学习中，多个客户端本地训练模型，然后由中央服务器聚合更新。传统后门攻击需要攻击者控制客户端或访问训练数据，但本文考虑一个更危险的场景：恶意聚合服务器（例如云服务提供商）与第三方供应商合谋，在完全不接触客户端数据的情况下，悄无声息地将广告类后门植入联邦QA模型中。攻击者的双重目标是：（1）保持正常查询的问答质量，即带毒模型在非触发查询上表现与干净模型无异；（2）当输入中出现特定触发词时，模型生成高度自然、上下文相关的回复，其中包含目标广告。实现这两个目标极具挑战性，因为缺乏私有数据知识，简单的后门注入可能降低模型正常性能或无法成功植入后门。为此，作者利用训练过程中客户端上传的梯度，提出一种无数据且隐蔽的两阶段投毒框架：第一阶段，从客户端梯度中恢复代表性训练样本；第二阶段，利用恢复的样本和触发短语构建投毒数据集，从而将后门注入全局模型。在多个代表性QA数据集和LLM家族（包括全微调和LoRA设置）上的实验表明，该方法在几乎不影响正常任务性能的前提下，实现了接近100%的攻击成功率（ASR）。关键的是，仅需重构5-20%的梯度就足以发动可靠攻击，暴露了联邦QA LLM训练流程中的一个实际盲点。该研究揭示了联邦学习在LLM场景下的新安全威胁，并呼吁设计更鲁棒的聚合算法和异常检测机制。

本文研究联邦学习中的语义驱动后门攻击机制，重点探讨触发器颜色对攻击成功率的影响。联邦学习易受到后门攻击，恶意客户端注入中毒更新同时保持良性任务性能。现有研究多关注触发器形状、位置等，而本文系统性地分析了触发器颜色这一因素。攻击者使用自然视觉配件（如口罩、太阳镜）作为语义触发器，仅改变触发器颜色（黑/白），保持攻击管线固定。恶意客户端通过将触发器应用到源类别图像并重新标记为目标类别来构建中毒样本，良性客户端仅使用干净数据训练。此外，还比较了标准中毒目标和更强的SABLE目标（结合干净分类损失、触发目标损失、特征分离损失和正则化），以减少更新漂移。实验基于CelebA数据集上的四分类发色任务（金发、黑发等），结果表明：即使触发器语义、位置和中毒预算不变，触发器颜色显著改变攻击成功率。白色触发器对针对金发类别的攻击更有效，黑色触发器对针对黑发类别的攻击更有效。这一趋势在鲁棒聚合下依然存在。论文贡献在于揭示了触发器颜色作为一个被忽视的重要因素，影响语义后门攻击的有效性和持久性，为联邦学习安全评估提供了新视角。适合联邦学习安全研究人员、后门防御设计者阅读。

本文提出了一种针对扩散模型（Diffusion Models, DMs）的高效后门攻击框架 TooBad。现有的后门攻击方法在攻击性能、隐蔽性、时间复杂度和所需毒化率之间存在严重权衡：高攻击性能通常需要高毒化率和长时间训练，导致隐蔽性下降，易被防御机制检测。TooBad 的核心创新在于设计了一种专门针对扩散模型的触发优化技术，通过优化触发模式来最大化后门注入效率。实验在 CIFAR-10 等代表性基准上进行：仅需 0.5% 的毒化率即可达到超过 85% 的攻击成功率（ASR），而先前工作在相同数据集上通常需要 10% 的毒化率；当毒化率提升至 5% 时，TooBad 仅需 3-5 个后门注入周期即可实现接近 100% 的 ASR，相比现有方法（需要 30-50 周期及两倍毒化率）效率提升显著。此外，TooBad 能够轻松规避当前最先进的后门防御机制，同时保持模型在正常任务上的高实用性。该工作揭示了扩散模型面临的新型隐蔽威胁，强调需要开发更鲁棒的防御策略。

该论文研究了个性化联邦学习（PFL）在面对后门攻击时的脆弱性。联邦学习（FL）允许多个客户端在不共享私有数据的情况下协作训练全局模型，但非独立同分布（non-IID）的数据分布导致全局模型难以适应每个客户端的本地数据。为此，个性化联邦学习（PFL）被提出，使每个客户端能够基于其私有数据训练个性化的本地模型。尽管已有大量研究关注FL中的后门风险，但PFL中的后门攻击尚未得到充分探索。本文深入分析了PFL对后门攻击的防御能力与潜在弱点。一方面，PFL的个性化过程可以稀释注入到个性化本地模型中的后门毒化效果；此外，PFL系统通常部署服务器端和客户端两端的防御机制以增强对后门攻击的屏障。另一方面，研究表明这些防御措施可能带来虚假的安全感。作者提出了一种名为PFedBA的隐蔽且有效的后门攻击策略，该策略通过优化触发器生成过程，巧妙地将后门学习任务与PFL的主学习任务对齐。全面的实验表明，PFedBA能够成功地将触发器无缝嵌入到个性化本地模型中，并在10种最先进的PFL算法上取得了优异的攻击性能，同时击败了现有的6种防御机制。该研究揭示了PFL系统中隐蔽而强大的后门威胁，呼吁社区加强对新兴后门挑战的防御。

本文挑战了“差分隐私（DP）能够天然增强联邦学习（FL）抗后门攻击鲁棒性”的普遍假设。通过实证分析两种基线攻击策略，作者发现DP-FL中存在根本性矛盾：若攻击绕过DP，现有先进防御能够有效检测并过滤恶意更新；但若攻击遵守DP约束，DP的噪声添加过程反而会掩盖恶意更新的统计特征，导致现有防御失效。基于这一“掩蔽效应”，本文提出RING攻击，其核心思想是明确利用DP来隐藏恶意贡献，同时最大化攻击效果。具体地，被攻陷的客户端通过协同构造对抗扰动，在聚合阶段重建强后门信号而不触发异常检测。RING作为一种与底层后门技术无关的扰动层，可以广泛兼容并组合到现有攻击中，这极大增强了其对DP-FL的威胁。在四个图像和文本数据集（非独立同分布）上的大量评估表明，在中等隐私预算（如ε=8）下，RING对六种最先进防御的平均攻击成功率达到90.3%，相较于基线策略提升最高达26.08倍。最后，作者评估了潜在对策，发现缓解该威胁会带来显著的效用-隐私权衡，从而暴露了部署差分隐私联邦学习时的根本安全漏洞。

该论文聚焦于物联网（IoT）和网络物理系统（CPS）中持续学习（CL）环境下的后门攻击安全问题。随着IoT/CPS系统需要不断适应环境变化、设备异构性和概念漂移，持续学习被广泛用于提升系统效用。然而，持续学习的增量更新、回放缓冲区和表示重用等机制也为攻击者提供了植入持久后门的机会。攻击者可以设计恶意输入，使得模型在正常操作中表现正常，但遇到特定触发器时激活恶意行为。论文首先形式化了IoT/CPS环境下的威胁模型，分析了持续学习过程中后门攻击为何能持久存在：增量更新使得后门逐渐融入模型参数，回放缓冲区可能保留后门样本，表示重用则促使后门泛化到不同任务。然后，作者提出了一种针对持续学习的后门攻击方法，并在不同条件下评估了攻击的有效性和持久性。实验结果表明，即使在持续学习多个任务后，后门仍然能够保持高触发成功率，而模型在主流任务上的性能几乎不受影响。论文最后讨论了在工业IoT（IIoT）环境中保障持续学习安全面临的开放挑战，强调了加强安全控制的必要性。该研究揭示了持续学习在IoT/CPS中部署时的新安全风险，为后续防御研究提供了方向。适合对IoT/CPS安全、后门攻击和持续学习感兴趣的读者阅读。

随着集成电路供应链的全球化，硬件安全威胁如硬件特洛伊木马（HT）和知识产权（IP）盗版日益严重。图神经网络（GNN）作为处理图结构数据的强大深度学习方法，已被广泛应用于检测此类威胁。然而，GNN容易受到后门攻击，攻击者可恶意操纵输出预测以满足其目标。现有后门攻击通常使用随机生成子图或梯度引导生成子图作为触发器，但这些触发器在基于GNN的硬件安全应用中不切实际，因为它们无法保证保留电路功能。本文提出GRAFT，一种针对基于GNN的硬件安全系统的基于图元（graphlet）的后门攻击方法。GRAFT在寄存器传输级（RTL）或门级设计中嵌入图元触发器，同时保留电路的原始功能。在ISCAS-85和TrustHub数据集上的实验表明，GRAFT能有效逃避HT检测和IP盗版检测，攻击成功率（ASR）高达100%。该方法揭示了GNN在硬件安全领域的新脆弱性，为防御者提供了研究后门攻击机制的新视角。

本文针对脉冲神经网络（SNN）和神经形态数据集提出了一种后门攻击方法。脉冲神经网络是第三代神经网络，具有低功耗和事件驱动的特点，在神经形态硬件上展现出巨大潜力。然而，其安全性问题尚缺乏系统研究。作者首次探索了SNN在后门攻击下的脆弱性，设计了一种针对SNN的触发器注入机制，该机制利用脉冲序列的时序特性，在训练阶段将恶意触发模式嵌入模型中。攻击者通过控制触发样本使模型在正常输入时表现正常，而在包含触发器的输入上输出攻击者指定的错误标签。实验在多个神经形态数据集（如N-MNIST、CIFAR10-DVS等）上进行，结果表明攻击成功率高达95%以上，同时保持对干净样本的高分类准确率。此外，文章还探讨了不同触发器类型（如高频脉冲模式、空间稀疏模式）对攻击效果的影响。该工作揭示了SNN部署中的潜在安全隐患，为后续防御研究提供了基础。

该论文研究了自监督学习中的后门攻击问题。自监督学习通过大量无标签数据训练特征提取器（编码器），下游任务可在其上构建分类器。然而，攻击者可以通过向无标签训练数据注入后门，使基于后门编码器构建的下游分类器将带有触发器的输入错误分类为目标标签。现有后门攻击存在一个关键缺陷：中毒样本在特征空间中与干净数据显著偏离（即分布外），且中毒样本之间高度集中（高成对相似性），这使得它们易被先进的防御技术检测。为此，论文提出了一种名为Drupe的分布保持后门攻击方法，通过最小化中毒样本与干净数据之间的分布距离，将中毒样本转换为分布内数据；同时将中毒数据分散到目标类别分布的更广区域，以缓解浓度问题。在五个流行数据集上的评估表明，Drupe相比现有攻击显著降低了中毒分布的分布距离和浓度，成功规避了两种最先进的自监督学习后门防御，并且对知情防御者具有鲁棒性。该研究揭示了自监督学习后门攻击的新威胁方向，对安全社区构建更鲁棒的防御方法具有参考价值。

本文提出一种名为“主动可用性后门”（Proactive Availability Backdoor, PAB）的新型后门攻击范式，针对大型语言模型（LLM）的安全威胁。与传统的被动后门攻击不同，PAB将攻击向量从被动等待转变为主动社会工程，通过利用对齐后LLM固有的“乐于助人”特性，主动诱导用户执行包含触发器的查询。攻击者预先植入特定触发模式，当用户在接受LLM建议时无意中执行该触发，模型便会输出恶意结果（如拒绝服务、错误信息等），从而实现高攻击性、高精准度和高隐蔽性。为了在真实场景中评估威胁，作者基于五因素模型（神经质、外向性、开放性、宜人性、尽责性）的关键维度，构建了双智能体生态模拟框架，其中一个智能体扮演攻击者，另一个扮演受害者，并采用少量样本提示部署PAB。在多种模型和领域上的实验表明，PAB表现显著，其有效攻击成功率（同时考虑攻击发生率和成功率）高达73.1%。此外，作者还提出了针对PAB的防御方法“Anti-PAB”，通过检测和阻断诱导性查询来缓解威胁。该研究揭示了LLM的“乐于助人”特性可能被武器化以破坏可用性，对LLM用户构成严重隐藏威胁。所有实验脚本和数据集已发布。适合安全研究员、AI伦理研究者和LLM部署方阅读。

本文提出了一种密度感知的样本特定后门攻击方法（Density-aware Sample-specific Attack），旨在解决现有后门攻击在训练后防御（如微调、剪枝）下容易被擦除的问题。作者重新审视了后门攻击的核心目标，在受害者训练的贝叶斯最优模型下推导出最优样本特定触发器构建的原则性条件。分析表明，当触发样本被引导到干净数据分布的低密度区域时，攻击成功率和干净准确率保持可以同时优化——这种分布条件同时控制了中毒分布的所有矩，而非仅靠输入空间的少数统计量。为此，作者引入了一个双层优化框架，通过条件时间分数匹配估计密度比，并优化混合模型目标函数以将触发样本放置在这些稀疏区域。在MNIST、CIFAR-10、GTSRB和TinyImageNet上的大量实验表明，该方法在防御前达到99%以上的攻击成功率，在微调防御后攻击成功率比最强基线高出50-85个百分点。针对神经元剪枝防御，该方法表现出完全免疫性，在所有剪枝阈值下均未识别出需要移除的神经元。这些结果揭示了当前防御范式的根本性缺陷，强调了需要开发在干净分布支持之外运作的防御机制。对于防御方而言，该研究警示了基于微调和剪枝的现有后门防御存在盲区，后门攻击可以针对数据分布的低密度区域设计触发器，从而绕过这些防御。建议安全从业者关注分布外检测方法，并探索基于密度估计的防御策略。

本文提出了一种基于差分隐私的原偶视角（primal-dual perspective）来证明机器学习模型对后门攻击的鲁棒性。后门攻击同时污染训练数据和测试数据，使得现有仅针对训练时或推理时单一阶段的随机平滑认证方法失效。作者将随机平滑与差分隐私中的隐私配置文件（privacy profiles）相结合，该配置文件提供了一种数值化方法来组合异构随机机制。由此得到的框架能够对复杂的组合机制进行紧致、模块化的端到端认证，同时可以利用现有差分隐私机制的分析结果。作者将该框架实例化到DP-SGD（差分隐私随机梯度下降）和深度分区聚合（Deep Partition Aggregation）并加入推理时平滑，推导出同时对抗训练时和后门注入、推理时触发器激活的联合鲁棒性保证。在MNIST和CIFAR-10上的实验表明，该方法能够有效认证模型在联合威胁模型下的鲁棒性。本文为使用组合机制认证复杂威胁模型下的鲁棒性提供了一个通用且原则性的框架。

本文研究了在文本到图像扩散模型的多概念后门注入场景中，由于多个后门触发器-目标关联共存导致的语义冲突和不稳定问题。随着开源模型重用和下游微调的普及，同一个预训练模型可能被多个独立方顺序适配和重新分发，导致多个概念特定的后门行为累积。这种累积会放大共享表示空间中的冲突，导致跨概念纠缠和生成质量下降，甚至削弱已有后门的可靠性。为应对这一干扰环境，作者提出了Hydra框架，一种稳健可控的多概念后门注入方法。核心思路是：在优化过程中显式约束触发器语义并协调跨任务交互。具体地，Hydra在文本编码器空间中进行进化触发器搜索，找到与目标概念语义对齐且对其他注入概念保持稳定的触发器；同时结合多任务微调和触发-干净正则化提高密集多概念注入下的训练稳定性。在多种扩散主干网络上的大量实验表明，Hydra在8个攻击者和500个概念对设置下维持了约95%的攻击成功率（ASR）和良好的干净生成保真度。该研究揭示了多概念后门注入的独特挑战，并为理解模型重用生态中的安全风险提供了新视角。

本文针对空中联邦学习（OTA-FL）系统中的后门攻击漏洞提出了一种两阶段鲁棒聚合防御框架。OTA-FL利用无线信道的叠加特性提升通信效率，但该特性也导致参数服务器无法获取单个客户端的本地更新，从而难以识别和排除被投毒的梯度。此外，在非独立同分布（Non-IID）训练数据下，良性梯度的漂移可能与恶意更新高度相似，进一步加剧了检测难度。为此，作者首先为每个客户端分配一个模态感知的多指标信任分数，根据数据模态（如波形、文本、图像）和模型架构选择最具区分力的指标以捕捉后门更新的特征。基于该分数，参数服务器执行基于信任的多址接入（TBMA），将客户端分为可信、可疑和恶意三类。对于可疑客户端，进一步通过服务器侧的逐层检查和纵向声誉机制进行审查。在多个数据集上的实验表明，该方法能有效抑制多种隐蔽后门攻击（包括有界缩放攻击、欧几里得约束攻击、余弦约束攻击和Neurotoxin），同时保持主任务精度。该研究为OTA-FL的安全部署提供了重要理论支持。

该论文提出了一种名为QuRA的新型后门攻击方法，利用深度学习模型量化过程中的舍入操作来注入恶意行为。与传统的依赖训练数据投毒或模型训练操纵的后门攻击不同，QuRA仅通过量化操作即可实现攻击。具体地，QuRA首先采用一种新颖的权重选择策略，识别对后门目标至关重要的权重（同时保持模型整体性能）。然后，通过优化这些权重的舍入方向，跨模型层放大后门效果，而不会显著降低模型精度。大量实验表明，QuRA在大多数情况下实现了近乎100%的攻击成功率，且性能下降可忽略不计。此外，QuRA能够绕过现有的后门防御措施，突显其威胁潜力。该研究揭示了广泛使用的模型量化过程中的关键漏洞，强调了需要更强大的安全措施。代码已开源。适合深度学习安全研究人员、模型部署工程师阅读。

该论文系统研究了深度强化学习（DRL）中可塑性干预（plasticity interventions）对后门攻击威胁的影响。可塑性干预是现代DRL智能体的内置组件，用于缓解可塑性损失，但其对后门漏洞的作用尚不明确。作者通过大规模实证研究，分析了14,664个案例，涵盖了多种代表性干预措施和后门攻击场景。结果表明，除了一种干预（即锐度感知最小化SAM）会加剧后门威胁外，其他干预（如L2正则化、Dropout等）均能缓解后门攻击。病理分析揭示了加剧机制源于后门梯度放大，而缓解机制则归因于激活路径破坏和表示空间压缩。基于这些发现，作者提出了两个新见解：一是概念框架SCC（结构性因果关系），用于解构干预与后门之间的机理交互，从而指导鲁棒的后门注入；二是发现异常损失景观锐度可作为DRL后门检测的关键指标。该研究填补了可塑性干预与后门威胁系统性研究的空白，对DRL安全部署具有重要指导意义。适合DRL安全研究者、对抗性机器学习从业者以及AI系统防御工程师阅读。

本文提出了一种名为LADDER的新型多目标黑盒后门攻击方法，针对卷积神经网络（CNN），通过进化算法同时优化多个攻击目标。现有黑盒后门攻击通常将目标视为单目标优化问题，仅在单一域（如空间域）设计触发器，这会导致语义和鲁棒性受损，并引入视觉和频谱异常。LADDER是首个在双域（空间域和频域）中通过进化算法实现多目标黑盒后门攻击的实例，无需预先了解受害者模型。具体地，作者将问题公式化为多目标优化问题（MOP），并采用多目标进化算法（MOEA）求解。MOEA维护一个触发器种群，各触发器在攻击目标间权衡，通过非支配排序驱动触发器向最优解进化。进一步，应用基于偏好的选择来排除不切实际的触发器。LADDER引入双域视角：在频域最小化干净样本与中毒样本之间的异常，以实现触发器隐蔽性；通过将触发器推向低频区域，增强对预处理操作的鲁棒性。在5个公开数据集上的大量实验表明，LADDER攻击有效性至少99%，攻击鲁棒性达90.23%（平均比现有最优攻击高50.09%），自然隐蔽性提升1.12倍至196.74倍，频谱隐蔽性提升8.45倍（以平均L2范数衡量）。该工作揭示了多目标优化在后门攻击中的潜力，对防御者理解新型攻击威胁具有重要意义。

机器学习模型在依赖不可信训练数据时面临后门攻击的风险，攻击者通过污染训练数据植入隐藏行为。现有防御方法难以应对日益隐蔽的攻击，尤其是干净标签后门攻击，因为它们无法监控单个训练样本对模型更新的细粒度影响。本文提出PoisonSpot系统，受动态污点跟踪启发，通过细粒度训练来源跟踪精确检测干净标签后门攻击。PoisonSpot在训练过程中捕获并分析每个训练样本对模型参数更新的影响，根据影响谱系为可疑样本分配中毒分数，从而准确识别并拒绝携带后门触发器的样本。该系统在多个基准数据集（如CIFAR-10、GTSRB）和攻击场景（包括不同触发器类型和污染率）下进行评估，与现有最优防御方法相比，PoisonSpot始终实现高真阳性率、低假阳性率，并能有效缓解后门攻击，即使面对自适应对抗策略也表现鲁棒。此外，PoisonSpot在多种训练设置（如从头训练、再训练、微调）中高效运行，展现出良好的可扩展性和实用性。实验结果表明，PoisonSpot在准确性和效率上均优于现有方法，为机器学习供应链安全提供了一种新的、可部署的防御手段。

机器学习中的后门攻击旨在通过向训练数据中植入恶意样本，使模型在遇到特定触发器时产生攻击者指定的输出。现有研究多聚焦于图像等同质数据，而表格数据因同时包含数值和类别特征，其异构性使得攻击设计更具挑战。本文提出CatBack，一种针对表格数据的通用后门攻击方法。核心创新在于提出一种新的类别特征编码技术：将类别值转换为浮点数表示（而非传统的独热或序数编码），该编码能保留足够信息以保证正常模型的准确率。基于此编码，攻击者可以构建一个基于梯度的通用扰动，该扰动可同时作用于数值和类别特征，形成统一的触发器。在训练阶段，将带有此扰动的样本（后门样本）注入训练集，并标记为攻击目标标签；模型学习后，任何输入若被施加该通用扰动，都会预测为目标标签。作者在5个数据集（涵盖分类与回归任务）和4种流行模型（如决策树、神经网络等）上评估了CatBack，实验显示无论在白盒还是黑盒设置（包括在Google Vertex AI平台上）下，攻击成功率均高达100%。更关键的是，该方法能有效绕过现有多种防御机制，包括Spectral Signatures、Neural Cleanse、Beatrix和Fine-Pruning，以及常见的异常检测方法（如孤立森林）。与已有工作Tabdoor相比，CatBack在攻击成功率、隐蔽性和通用性上均有显著提升。本文揭示了表格数据在机器学习安全中的一个严重脆弱性，表明传统的防御手段在此类新型攻击面前失效，亟需针对异构数据设计更鲁棒的防御方案。