本文提出了一种密度感知的样本特定后门攻击方法（Density-aware Sample-specific Attack），旨在解决现有后门攻击在训练后防御（如微调、剪枝）下容易被擦除的问题。作者重新审视了后门攻击的核心目标，在受害者训练的贝叶斯最优模型下推导出最优样本特定触发器构建的原则性条件。分析表明，当触发样本被引导到干净数据分布的低密度区域时，攻击成功率和干净准确率保持可以同时优化——这种分布条件同时控制了中毒分布的所有矩，而非仅靠输入空间的少数统计量。为此，作者引入了一个双层优化框架，通过条件时间分数匹配估计密度比，并优化混合模型目标函数以将触发样本放置在这些稀疏区域。在MNIST、CIFAR-10、GTSRB和TinyImageNet上的大量实验表明，该方法在防御前达到99%以上的攻击成功率，在微调防御后攻击成功率比最强基线高出50-85个百分点。针对神经元剪枝防御，该方法表现出完全免疫性，在所有剪枝阈值下均未识别出需要移除的神经元。这些结果揭示了当前防御范式的根本性缺陷，强调了需要开发在干净分布支持之外运作的防御机制。对于防御方而言，该研究警示了基于微调和剪枝的现有后门防御存在盲区，后门攻击可以针对数据分布的低密度区域设计触发器，从而绕过这些防御。建议安全从业者关注分布外检测方法，并探索基于密度估计的防御策略。