利用两种故障注入手段，在 Cortex M4 32 位微控制器平台上嵌入神经网络模型，评估了控制流修改攻击对典型卷积神经网络模型推理中的多个步骤的完整性威胁，从而揭示了可能被攻击者利用以不同对立目标改变目标模型预测的风险。

Aug, 2023

本文介绍机器学习系统安全相关的认证行动，并探讨了模型参数攻击方面的挑战。同时，我们详细介绍了利用激光缺陷注入手段成功对 32 位 Cortex-M 微控制器进行 BFA 变异的安全测试，并阐述了如何使用模拟来选择最敏感的参数位集合以避免不切实际的暴力策略。

Apr, 2023

本研究提出了一种基于 ADMM 的故障潜入攻击框架，旨在通过最小化修改模型参数的同时维持模型准确性，从而实现将某些输入图像误分类为指定标签，具有多个潜入故障注入的能力。

May, 2019

本文介绍了模型提取攻击的两种不同目标 —— 准确度和等效性，并介绍了对于直接提取模型权重的功能性提取攻击的扩展，以及在学术数据集和一种使用 10 亿专有图像训练的最先进图像分类器上进行的实验。

Sep, 2019

本文介绍了一种特定类型的数据投毒攻击，即后门注入攻击，讨论了攻击者注入后门到深度学习模型中的方法，并提出了两种在不削弱受害者模型有效性的情况下，难以察觉但能实现模型毒化的后门生成方法。我们进行了广泛的实验评估，并证明即使在最弱的攻击者模型下，这种攻击可以在小的注入率（约为 1％）条件下实现高达 90％以上的攻击成功率。

Aug, 2018

我们引入一种基于编码的保护方法 ——DeepNcode，用于防范神经网络的位翻转攻击，实验结果表明，在 4 位和 8 位量化网络中，保护幅度分别提高了 7.6 倍和 12.4 倍，内存开销从原始网络大小的 50% 开始，而时间开销可忽略不计。此外，DeepNcode 不需要重新训练，也不改变模型的准确性。

May, 2024

通过简单的模式识别分析，我们提出了一种针对传统 MLP 和 CNN 模型的提取方法，该方法可以运行在高端 32 位微控制器（Cortex-M7）上，并且相对于参数提取而言，攻击的复杂性相对较低，强调了对适应这种平台的强大内存和延迟要求的可行性保护的迫切需求。

Nov, 2023

该研究主要研究了如何利用差分攻击方法，通过查询神经网络的关键点来窃取模型参数，从而实现更高精度的模型抽取。

Mar, 2020

本研究论文旨在提高对使用预训练模型时面临的新型机器学习供应链威胁的意识。我们介绍了 MaleficNet 2.0，这是一种在神经网络中嵌入自解压、自执行恶意软件的新技术。MaleficNet 2.0 利用扩频信道编码和纠错技术，将恶意载荷注入深度神经网络的参数中。该注入技术隐蔽且不降低模型性能，对去除技术具有鲁棒性。我们的方法旨在适用于传统和分布式学习环境，如联邦学习，并证明了在模型参数使用较少比特时仍具有效性。最后，我们利用 MaleficNet 2.0 实现了一个概念验证的自解压神经网络恶意软件，展示了该攻击对广泛采用的机器学习框架的实用性。我们希望通过这项工作提高学术界和工业界对这些新型危险攻击的意识，并鼓励进一步研究以应对此类威胁。

Mar, 2024

本文提出利用时间侧信道攻击来推断神经网络模型深度的黑盒神经网络提取攻击，使用知识蒸馏和强化学习，有效减少了搜索空间，可以构造出与目标模型测试精度接近的替代模型，且该方法可扩展，并与神经网络结构类型无关。

Dec, 2018