E安全消息，研究人员发现新型攻击方法——ShadowLogic：攻击者能够在模型中植入无代码、隐蔽的后门。这对各个领域的AI供应链构成了严重威胁。

HiddenLayer Security AI（SAI）团队在报告中做了详细阐述。ShadowLogic影响长久，因为后门即使在模型微调后也能持续存在，使得攻击者能够轻松地控制任何下游应用程序。

长期以来，后门一直是网络攻击的主要手段，传统上用于绕过软件、硬件和固件中的安全措施。 但ShadowLogic展示了一种新的后门类型：绕过神经网络本身逻辑，而不依赖于恶意代码的执行。

根据HiddenLayer SAI团队的说法，“计算图中像ShadowLogic这样的后门的出现引入了一类全新的模型漏洞，这些漏洞不需要传统的恶意代码执行漏洞”。这标志着攻击者破坏AI系统的方式发生了重大转变。

与针对模型权重和偏差的传统方法不同，ShadowLogic的工作原理是操纵神经网络的计算图。这个计算图定义了数据如何流经模型以及如何将操作应用于该数据，可以巧妙地更改以创建恶意结果。

ShadowLogic的关键在于它允许攻击者在机器学习模型中植入“无代码逻辑后门”，这意味着后门嵌入在模型本身的结构中，使其难以检测。

该报告解释称，“计算图是神经网络中各种计算运算的数学表示......这些图表描述了数据如何流经神经网络以及应用于数据的操作”。通过劫持图形，攻击者可以定义一个“影子逻辑”，该逻辑仅在接收到特定输入（称为触发器）时触发。

ShadowLogic的关键特性之一是使用“触发器”来激活恶意行为。这些触发器采用多种形式，具体取决于模型的模态。

例如，在图像分类模型中，触发器可以是像素的细微子集。在语言模型中，它可以是特定的关键字或短语。

图片：HiddenLayer Security AI

E安全了解，ShadowLogic后门的持续存在使它们特别危险。植入后，即使模型进行微调，后门也保持完整。

这种持久性意味着攻击者可以在预先训练的模型中植入后门，然后在任何下游应用程序中触发恶意行为。ShadowLogic将成为重大的AI供应链风险，受损模型会分布在各个行业。

另外，ShadowLogic的多功能性进一步加剧了风险。这些后门可以嵌入多种格式模型，包括PyTorch、TensorFlow、ONNX等。在图像分类、自然语言处理、欺诈检测等模型中，隐藏后门的威胁普遍存在。

ShadowLogic的发现凸显了AI安全领域对更强大防御的迫切需求。“如果我们无法确定模型是否被篡改，那么对AI驱动技术的信心就会降低。”HiddenLayer团队警告说。这一声明强调了ShadowLogic不仅可能破坏AI系统，而且可能破坏对AI技术的信任基础。

HiddenLayer 完整报告地址：

https://hiddenlayer.com/research/shadowlogic/

思科重大数据泄露，多家知名大厂数据已在暗网出售

2024.10.16

伊朗黑客OilRig利用Windows漏洞提升权限

2024.10.15

报告 | Google Play超200款恶意应用程序，累计下载800百万次

2024.10.17