文章总结: 本文系统梳理数据投毒与后门攻击理论,指出后门攻击本质是有条件的投毒。文章剖析了攻击者能力模型、供应链攻击场景及历史演化时间线,提出攻击成功率与隐蔽性评估指标。内容涵盖至大语言模型的攻击演进,为AI安全与供应链从业者提供系统威胁认知框架。 综合评分: 86 文章分类: AI安全,供应链安全,威胁情报
数据投毒与后门攻击
原创
pandazhengzheng pandazhengzheng
安全分析与研究
2026年7月5日 20:00 广东
在小说阅读器读本章
去阅读
本文档系统梳理数据投毒(Data Poisoning)与后门攻击(Backdoor / Trojan Attack)领域的核心理论、攻击方法、防御技术、评估体系与前沿研究动态,适用于AI安全研究人员、MLOps工程师、模型供应链安全从业者及深度学习安全审计人员参考。
目录
- 基础概念与威胁模型
- 数据投毒攻击
- 后门攻击方法体系
- 针对LLM的投毒与后门攻击
- 联邦学习中的投毒攻击
- 防御技术体系
- 评估框架与基准
- 前沿研究议题
- 工具、数据集与基准
- 参考资料
一、基础概念与威胁模型
1.1 核心概念辨析
数据投毒与后门攻击同属训练阶段攻击(Training-time Attack),但两者在目标和机制上有重要区别:
数据投毒(Data Poisoning)
├── 攻击目标:降低模型整体性能 或 影响特定样本预测
├── 攻击时机:污染训练数据集
├── 效果范围:对所有/部分输入生效
└── 类型:
├── 可用性攻击(Availability Attack):降低整体准确率
└── 完整性攻击(Integrity Attack):影响特定目标的预测
后门攻击(Backdoor / Trojan Attack)
├── 攻击目标:在模型中植入隐蔽的"后门"
├── 工作机制:
│ ├── 正常输入:模型行为正常(与干净模型无异)
│ └── 含触发器输入:模型按攻击者预设的方式输出
├── 隐蔽性:对不知情用户完全透明
└── 关键要素:触发器(Trigger)+ 目标标签(Target Label)
核心区别:
后门攻击是"有条件的"投毒攻击
只有当特定触发器出现时,后门才会激活
这使得后门攻击极难被常规测试发现
1.2 攻击者能力模型
攻击者能力维度分析:
数据访问能力:
├── 完全控制训练集(最强):可任意修改所有样本
├── 部分控制训练集:可修改 p% 的样本(投毒率)
└── 仅能注入新样本:无法修改现有样本(如公开众包数据集)
标签控制能力:
├── 干净标签攻击(Clean-label):无法修改标签,只能修改输入
└── 脏标签攻击(Dirty-label):可同时修改输入和标签
模型知识:
├── 白盒:知道目标模型架构和训练超参数
├── 灰盒:只知道模型类型(如 ResNet)
└── 黑盒:仅知道任务类型和数据分布
部署阶段的能力:
├── 可控制触发器输入(如物理世界中的贴纸)
└── 无法控制输入(用于测试防御的假设场景)
现实场景对应:
场景1:攻击开源数据集(GitHub、HuggingFace Datasets)
→ 部分控制 + 脏标签 + 黑盒
场景2:攻击众包标注平台(Mechanical Turk 等)
→ 部分控制 + 可控标签(通过恶意标注者)
场景3:攻击模型微调服务(如 OpenAI Fine-tuning API)
→ 完全控制微调数据 + 无法控制预训练部分
场景4:供应链攻击(发布恶意预训练模型)
→ 直接操控模型权重(比投毒更直接)
1.3 攻击成功的评估标准
评估指标体系:
攻击成功率(ASR, Attack Success Rate):
ASR = 含触发器样本被预测为目标标签的比例
目标:ASR → 100%
干净数据准确率(CDA, Clean Data Accuracy):
CDA = 不含触发器的正常样本的预测准确率
目标:CDA ≈ 干净模型的 CDA(隐蔽性要求)
隐蔽性指标:
├── 视觉隐蔽性:触发器对人眼不可见
├── 统计隐蔽性:投毒样本与干净样本分布相似
└── 模型隐蔽性:后门模型与干净模型在常规测试上无差异
攻击持久性:
└── 防御后的 ASR:经过常见防御后的残余攻击成功率
1.4 历史演化时间线
2017 BadNets:首篇系统性后门攻击论文(Gu et al.)
└── 用像素图案作为触发器,奠定基础框架
2018 Trojan Attack:基于权重优化的后门植入
Blended Injection:隐蔽混合触发器
2019 ISSBA:样本特定的不可见触发器
Clean-label Backdoor:干净标签后门攻击
Spectral Signatures:首个基于特征的检测方法
2020 Hidden Trigger(Saha et al.):更隐蔽的清洁标签攻击
WaNet:基于图像翘曲的不可见触发器
InputAware:输入自适应触发器
2021 LIRA:潜空间后门攻击
Blind Backdoor:对代码后门的首次研究
供应链攻击:攻击预训练模型和迁移学习
2022 BATT:针对 BERT 等 NLP 模型的后门攻击
TrojLLM:针对大型语言模型的后门
BadDiffusion:针对扩散模型的后门
2023 指令微调后门:针对 SFT 阶段的投毒
Shadow Alignment:仅 100 条数据的 LLM 对齐破坏
多模态后门攻击成熟化
2024 Agent 投毒攻击
RAG 系统投毒
推理时后门(Inference-time Backdoor)
二、数据投毒攻击
2.1 可用性攻击(Availability Poisoning)
目标:通过污染训练数据,使模型在所有输入上性能下降,从而破坏 AI 系统的可用性。
2.1.1 随机标签翻转(Label Flipping)
最简单的投毒攻击:
`
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全分析与研究 pandazhengzheng pandazhengzheng《数据投毒与后门攻击》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论