研究人员展示如何把恶意程序藏在AI模型里

3名安全研究员在上周发表了一份名为EvilModel的研究报告，他们把恶意程序藏在神经网络的模型中，不仅可嵌入大型的恶意程序，还能躲避检测，甚至不影响AI模型的能效。

Zhi Wang、Chaoge Liu与Xiang Cui，3名安全研究员指出，黑客为了躲避检测，经常将恶意程序的通信藏在如Twitter、GitHub甚至是区块链等合法服务中，这些方法完全不需要黑客自行部署在服务器上，受害者也无法通过删掉合法服务保护自己，只不过，这些通道往往只适用于少量的信息，无法用来传送文件较大的攻击程序，而这也是他们选择神经网络模型的原因。

由于神经网络模型多半具备不可解释的特性，再加上良好的泛化能力，因此，若把恶意程序直接嵌入神经网络模型中，对于该模型的效能影响非常小，此外，因神经网络模型的架构没变，还能躲过杀毒软件的检测。

因此，研究人员成功地把36.9MB大小的恶意程序放到了178MB的AlexNet模型，不仅只损失不到1%的精确度，还未被任何的杀毒软件察觉。

根据该报告的解释，由于藏在神经网路中的恶意程序是被拆解的，也缺乏特征，因而得以躲避检测；此外，神经网络的泛化能力让它就算夹带了恶意程序，也不会造成异常；且特定任务的神经网络模型的文件都很大，也让它能够用来传送恶意程序。

更重要的是，这种手法不需要依靠其它的系统漏洞，内含恶意程序的模型只要通过供应链的模型更新就能传送不会引起注意，随着神经网络愈来愈普及，研究人员认为这个方法未来将会日益被不法分子所应用。

未经允许不得转载：DOIT » 研究人员展示如何把恶意程序藏在AI模型里