深度神经网络的安全性受到了研究人员的广泛关注，本文提出了一种训练辅助位翻转攻击方法，通过与恶意模型相结合，仅通过改变一个关键位的翻转，在部署阶段将普通模型转化为恶意模型，对现有的防御手段仍构成重大威胁。

Aug, 2023

本文提出了一种名为 Bit-Flip Attack 的攻击方法，通过翻转极小的二进制权重数字来破坏 Deep Neural Network，同时使用 Progressive Bit Search 方法来定位最脆弱的二进制权重数字，在仅翻转 13 个二进制数字的情况下可让 ResNet-18 的准确率从 69.8% 恶化至 0.1%。

Mar, 2019

通过深度神经网络 (DNN) 可执行文件启动比特翻转攻击 (BFA) 的系统研究揭示了存在的攻击表面，并呼吁在未来的 DNN 编译工具链中加入安全机制。

Sep, 2023

本文介绍机器学习系统安全相关的认证行动，并探讨了模型参数攻击方面的挑战。同时，我们详细介绍了利用激光缺陷注入手段成功对 32 位 Cortex-M 微控制器进行 BFA 变异的安全测试，并阐述了如何使用模拟来选择最敏感的参数位集合以避免不切实际的暴力策略。

Apr, 2023

本研究提出了一种新的目标二进制特洛伊（TBT）方法，为实现模型的恶意攻击，通过比特翻转攻击将特定的神经特洛伊插入到深度神经网络中。研究表明，只需利用可用的比特翻转技术（即行锤），翻转几个易受攻击的比特就可以将功能完好的 DNN 模型转化为特洛伊感染的模型，并实现将测试图像的 92％分类到目标类的目的。

Sep, 2019

本文研究了一种针对深度神经网络的新攻击范式，即在部署阶段修改模型参数以达到恶意目的，进而将该问题转换为二进制整数规划问题并使用交替方向乘子方法来求解，实验证明该方法优于其他攻击方法。

Feb, 2021

本文利用第一款硬件攻击深度学习模型的工具 DeepHammer，可以在运行时对确定性比特翻转进行深度学习模型注入，从而完全消耗目标 DNN 系统的智能。同时，我们还讨论了几种缓解技术，以保护 DNN 免受此类攻击。

Mar, 2020

我们提出了 Injectivity Bit Flip Attack, 对于 graph neural networks 进行了第一个专门设计的 bit flip attack，攻击目标是 quantized message passing neural networks 中的可学习的 neighborhood aggregation functions，降低它们区分图结构的能力，失去了 Weisfeiler-Lehman 测试的表达能力。我们的研究结果表明，利用特定的数学性质可以显著增加某些图神经网络架构对 bit flip 攻击的敏感性。Injectivity Bit Flip Attacks 可以通过翻转网络的一小部分比特，将训练在各种图属性预测数据集上的最大表达力的 Graph Isomorphism Networks 降级为随机输出，显示了与从卷积神经网络转移到的 bit flip 攻击相比更大的破坏力。我们的攻击是透明的，并受到广泛的实证结果的确认。

Nov, 2023

本研究探讨了硬件攻击给神经网络的参数带来的影响及其耐受能力，发现大部分模型对单一位比特翻转都有 10% 以上的分类精度下降，结果揭示了神经网络鲁棒性的局限性并提出了未来的研究方向。

Jun, 2019

本文研究了基于比特翻转的模型权重的攻击方法，并提出了一种针对指定输出类的攻击方式，成功地展示了攻击不同 DNN 结构的图像分类任务中的有效性。

Jul, 2020