本文探讨在机器学习模型中的数据污染问题，提出了基于优化的毒化方法和一种水印策略，并使用含有毒素的图片控制了图像分类器的行为。

Apr, 2018

研究发现，干净标签数据集污染攻击是神经网络安全的一个最近问题，该攻击会注入正确标记的毒样本，并会触发有针对性的错误分类；此文提出了 Bullseye Polytope，这是一种可扩展的并且可以迁移的混合污染攻击方式，在推广学习中创造出与目标图片接近的毒图片，攻击成功率比目前最先进的技术提高了 26.75％，而攻击速度提高了 12 倍以上；同时，该文还对 Bullseye Polytope 进行了延伸和改进，使用多个图片来手工编制污染样本，攻击迁移性得到 16％的提高，而不使用额外的毒样本。

May, 2020

用于训练数据的小扰动攻击机器学习模型的可用性数据中毒攻击有可能泛化到不同的学习算法和范式，并提出了可转移的中毒攻击来生成高频中毒扰动，该攻击具有显著改善的可转移性。

Oct, 2023

本研究探讨了对洁净标签下的中毒攻击的防御方法，并提出了一种在迁移学习环境中检测和过滤被中毒数据点的新方法，通过实验分析表明，我们的方法能够在特征向量空间中有效区分有效的中毒点和干净点，并通过多个架构、数据集和中毒预算的比较，充分评估了我们的方法，结果显示我们的方案在所有实验设置中均优于现有方法的防御率和最终训练模型性能。

Mar, 2024

MetaPoison 是一种第一阶段方法，它通过元学习来近似二级问题，并制造了能欺骗神经网络的有毒数据，解决了深度模型中数据污染的问题，此举可攻击黑盒 API。

Apr, 2020

本文介绍了一种新的生成模型，用于对机器学习分类器进行攻击，并提出了一种生成式对抗网络，包括生成器、鉴别器和目标分类器，以模拟在现实攻击中可以预期的检测限制，进而确定底层数据分布的易受数据中毒攻击的区域。

Jun, 2019

研究指出多模态对比学习方法训练在无噪声且未分类的数据集上可能导致后门和毒化攻击成为重要的威胁。通过少量的毒化数据，可以影响模型分类测试图片的准确性，这显然会影响训练数据集的质量。

Jun, 2021

本文针对数据污染攻击进行研究，发现匹配恶意示例梯度方向的攻击方法能够对现代深度网络造成威胁，且现有的防御策略并不能有效对抗此类攻击，进一步证明数据污染对大规模深度学习系统是一个可信的威胁。

Sep, 2020

提出了一种有效的对抗性样本（backdoor）防御方法，它由多个子模块组成，能够在检测到 backdoor 的同时进行筛选清洗，并通过提取毒信号的方式中和攻击。该防御方法在 CIFAR10 数据集上针对 9 种不同的目标基类配对均表现出较好的效果。

Nov, 2019

本文研究了深度图像分类模型中毒的问题，提出了两种防御方案进行后处理，利用少量的受信任的图像标签对修复模型，防御效果优于现有的方案，并指出了检测 / 鲁棒性权衡关系和攻击的适应能力问题。

May, 2023