该研究论文对深度学习中的特洛伊木马攻击及其防御进行综述，系统总结近期的方法，同时讨论其关键概念，为了让更广泛的社区了解神经特洛伊木马的最新发展。

Feb, 2022

本文提出了一种新的训练免费的攻击方法，使用一个小的特洛伊模块（TrojanNet）将恶意特征插入目标模型，该模型通过特殊标记对输入进行标记，并将所有标签注入特洛伊，攻击成功率达到 100％，且不会影响模型在原始任务上的准确性。

Jun, 2020

本文提出了 Meta Neural Trojan Detection (MNTD) 管道来解决机器学习特洛伊木马攻击检测的挑战，通过训练一个能够预测目标模型是否被特洛伊木马攻击的元分类器来检测黑盒模型，同时引入 jumbo learning 以对特洛伊木马攻击进行分类和预测。在试验和对比中表明，MNTD 达到了 97% 的检测 AUC 分数，并优于现有的检测方法。

Oct, 2019

该论文提出了一种基于模型输出偏差分析的模型级神经木马检测框架来检测 NLP 领域的神经木马，并提出了一种轻量级变体以提高检测速度。

Aug, 2022

本文提出了一种名为 FreeEagle 的数据免费后门检测方法，可以有效检测深度神经网络上的复杂后门攻击，而不需要任何干净样本或包含触发器的样本，并在不同数据集和模型结构上表现良好。

Feb, 2023

通过在内存中修补模型参数，攻击者可以实现对深度学习系统的实时攻击，并演示了如何在 Windows 和 Linux 中修补 TensorFlow 模型参数以及有效地操作被扰动的输入数据的熵以绕过 STRIP 的新技术

Apr, 2020

本文提出了一种检测预训练模型是否被恶意篡改的方法，该方法通过学习神经网络的参数来捕获其对抗扰动，以检测是否存在后门；同时，本文还提出了一种异常检测方法来确定被感染的网络的目标类别。实验结果表明该方法检测恶意后门的准确率高达 92% 以上。

Jul, 2020

我们提出并分析了一种自适应对手，可以重新训练带有特洛伊的深度神经网络 (DNN)，并知道最先进的基于输出的特洛伊模型检测器。我们展示了这样一种对手可以保证 (1) 嵌入触发器和干净样本的高准确率以及 (2) 绕过检测。我们的方法基于这样一个观察，即 DNN 参数的高维度提供足够的自由度来同时实现这些目标。我们还通过允许重新训练来使最先进的检测器具有适应性，以重新校准它们的参数，从而对特洛伊模型和检测器的参数进行建模。然后，我们展示了这种协同进化可以建模为一个迭代博弈，并证明了该交互博弈的结果 (最优解) 可以使对手成功实现上述目标。此外，我们为对手提供了一种贪婪算法，以选择最少数量的输入样本来嵌入触发器。我们证明了对于 DNN 使用的交叉熵或对数似然损失函数，贪婪算法对所需的嵌入触发器输入样本的数量提供了可证明的保证。在 MNIST、CIFAR-10、CIFAR-100 和 SpeechCommand 这四个不同的数据集上进行的大量实验证明了对手有效地逃避了四种最先进的基于输出的特洛伊模型检测器: MNTD、NeuralCleanse、STRIP 和 TABOR。

Feb, 2024

本研究旨在研究恶意预训练语言模型对 NLP 系统带来的安全威胁，通过 TROJAN-LM 攻击来实现 NLP 系统的误操作，并提供分析性证明及可能的对策。

Aug, 2020

本文针对基于 Prompt 学习的预训练语言模型 API 的安全问题进行了研究，提出了 TrojPrompt 框架以解决现有的后门攻击问题，并在现实世界的黑盒预训练语言模型 API 中成功插入了木马，同时保持出色的性能。

Jun, 2023