文章总结： 四川大学张意教授团队在AAAI2026发表的研究提出了首个在严格威胁模型下的数据集蒸馏后门攻击方法，攻击者无需访问原始数据、蒸馏过程或下游模型即可在1分钟内注入后门。该方法通过重建概念原型并设计混合损失函数，在保持模型正常性能的同时实现后门稳定触发。研究成果揭示了数据集蒸馏技术存在的安全隐患，为AI安全领域提供了重要的攻击案例参考。 综合评分： 85 文章分类： AI安全,恶意软件,漏洞分析,威胁情报,安全研究

AAAI 2026收录四川大学网络空间安全学院张意教授团队数据集蒸馏安全最新研究成果

信息网络安全杂志

2026年1月3日 17:00 上海

在小说阅读器读本章

去阅读

近日，我院张意教授团队在数据集蒸馏安全领域的研究成果《Poisoned Distillation: Injecting Backdoors into Distilled Datasets Without Raw Data Access》被人工智能领域国际顶级会议AAAI Conference on Artificial Intelligence（AAAI）收录。AAAI是国际公认的人工智能领域的顶级会议之一，在中国计算机学会推荐会议列表中被评价为A类会议。

(a) 传统方法威胁模型     (b) 本文的威胁模型

图1. 传统威胁模型和本文威胁模型的比较

数据集蒸馏近年来被视为缓解大规模数据集在计算与存储方面挑战的一种新型技术路径。通过生成能够保留原始数据集关键信息的小规模合成数据，在显著降低数据集大小的同时，仍能保证训练的模型具有类似的性能。

然而，研究发现，数据集蒸馏方法在生成合成数据的过程中容易受到后门攻击的影响。但早期的威胁模型普遍假设攻击者能够访问蒸馏过程以及原始数据。本工作提出了一个更为严格的攻击假设：攻击者无法获取蒸馏过程、原始数据、下游模型，以及下游的训练策略。在这一更具挑战性的假设下，该工作仍然证明攻击者在某些场景中能够在不到一分钟的时间内成功注入后门。

图2. 本文所提方法流程图

本文提出了首个针对上述极具挑战的威胁模型的后门攻击方法。首先利用模型从良性蒸馏数据中学习到的知识，为每个类别重建其概念性原型，作为攻击的基础。随后，在概念原型上注入后门，并且提出一种混合损失函数，在原有优化轨迹上加入后门的唤醒，实现后门能被真实数据稳定触发的同时最大限度降低模型正常性能损失。

该成果联合新加坡先进研究院合作完成，已被AAAI 2026录用，2021级博士生杨子元为第一作者，张意教授为通信作者。

The 40th Annual AAAI Conference on Artificial Intelligence（AAAI）是人工智能领域的顶级国际学术会议，是中国计算机学会（CCF）推荐的A类会议，将于2026年1月20日至27日在新加坡举行。AAAI 2026共收到26380份有效投稿，其中4167篇论文被主会接收，录用率仅为17.6%。

来源：四川大学

往期精彩回顾

从竞赛“练兵场”到人才“孵化器”: 湖南大学、复旦大学、四川大学、西安邮电大学引领塑造网络安全新生力 “五色石”计划下，东南大学网络安全人才培养模式创新“密码”揭秘

“网安+法学”双学位  |  看南开大学、东南大学、重庆邮电大学在新赛道上加速跑

“实战派”网安人才培养新范式，看上海交大、暨南大学、湖南大学如何转变模式锻造网安实战人才

守护语音安全: 华中科技大学CPSS团队如何打造Anti-Deepfake系统斩获创意作品赛冠军？

信息网络安全

《信息网络安全》创刊于2001年，是由公安部主管，公安部第三研究所、中国计算机学会主办，面向国内外公开发行的国内首批信息安全类期刊之一，于2015年成为中国科技核心期刊，2017年成为中国科学引文数据库来源期刊，2018年成为中文核心期刊，2022年入选CCF计算领域高质量科技期刊分级目录。

中文核心期刊

中国科技核心期刊

中国科学引文数据库来源期刊

CCF计算领域高质量科技期刊

我们在不断努力和完善中，期待您的关注和支持！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息网络安全杂志 《AAAI 2026收录四川大学网络空间安全学院张意教授团队数据集蒸馏安全最新研究成果》