该论文研究了一种针对LLM驱动的自主Agent的新型供应链攻击方法——语义合规劫持（SCH）。随着Agent通过第三方技能市场集成外部功能，攻击面扩大。现有安全审计机制依赖代码扫描识别显式payload或预定义威胁内容，但若恶意行为不含直接注入，而是通过Agent固有的生成能力在运行时动态合成，则可绕过检测。SCH方法将恶意目标转化为非结构化自然语言指令，格式化为必要的合规规则，诱导Agent生成并执行未经授权的代码。论文构建自动化流水线，在三个主流Agent框架和三个基础模型上，结合场景化测试评估攻击有效性。实验表明，在最脆弱配置下，机密泄露成功率达77.67%，远程代码执行（RCE）达67.33%。引入多技能自动优化（MS-AO）进一步提升了攻击效果。由于操作后的技能文件省略了可识别的抽象语法树（AST）特征和显式恶意意图，被扫描工具检测率为0.00%。该研究揭示了Agent供应链中未被充分探索的攻击面，指出需要从基于签名的检测模型向语义意图验证转变。

该论文提出了一种名为 Sparse Backdoor 的供应链攻击，能够在预训练图像分类器（包括卷积网络和视觉Transformer）中植入一个理论上不可检测的后门。攻击方法是在每个全连接层的少量列上沿随机方向注入结构化稀疏扰动，从而将触发信号传播到攻击者选择的目标类别，并通过独立的各向同性高斯抖动掩盖该扰动。抖动的作用是产生一个以预训练权重为锚点的干净参考分布，据此形式化定义不可检测性。在预训练分类器满足温和的边际条件时，论文证明了抖动后的参考模型与原始分类器功能等价。进一步，论文证明区分植入了后门的模型与该参考模型至少与Sparse PCA检测问题一样困难，而后者在标准难度假设下是计算不可行的。该保证适用于任何具有白盒参数访问权限的概率多项式时间区分器。