arXiv:2403.03593v2 通告类型: replace-cross 摘要：训练高质量的深度学习模型是一项具有挑战性的任务，因为它涉及到计算和技术要求。越来越多的个人、机构和公司依赖于在公共仓库中提供的第三方预训练模型。这些模型通常被直接使用或整合到产品管道中，因为它们只是以张量形式存在的数据，并被认为是可以安全使用的。在这篇论文中，我们提出了针对神经网络的新的人工智能供应链威胁。我们介绍了MaleficNet 2.0，这是一种新颖的技术，用于在神经网络中嵌入自我提取并自我执行的恶意软件。MaleficNet 2.0 使用了扩展频谱信道编码结合纠错技术，在深度神经网络的参数中注入恶意载荷。MaleficNet 2.0 的注入技术是隐蔽的，不会降低模型的性能，并且对移除技术具有鲁棒性。我们设计我们的方法以适应传统的以及分布式的机器学习环境，如联邦学习，并证明即使使用较少的位数来表示模型参数，该方法也是有效的。最后，我们使用 MaleficNet 2.0 实现了一个概念验证的自我提取神经网络恶意软件，证明了该攻击对广泛采用的机器学习框架的可行性。我们通过这项工作旨在提高对这些新的危险攻击的认识，不仅在研究界，也在行业中，并希望鼓励对此类威胁缓解技术的进一步研究。