研究人员展示如何把恶意程式藏匿在AI模型中

3名资安研究人员上周发表了一份名为EvilModel的研究报告，他们把恶意程式藏匿在神经网络的模型中，不仅可嵌入大型的恶意程式，还能躲避侦测，甚至不影响该AI模型的效能。

这3名资安研究人员为Zhi Wang、Chaoge Liu与Xiang Cui指出，骇客为了躲避侦测，经常将恶意程式的通讯藏匿在诸如Twitter、GitHub甚至是区块链等合法服务中，这些方法完全不需要骇客自行部署服务器，受害者也无法借由摧毁合法服务来保护自己，只不过，这些管道通常只适用于少量的讯息，而无法用来递送档案较大的酬载或攻击程式，而这也是他们选择神经网络模型的原因。

由于神经网络模型多半具备不可解释的特性，再加上良好的泛化能力，因此，若把恶意程式直接嵌入神经网络模型中，对于该模型的效能影响非常的轻微，此外，因神经网络模型的架构没变，于是还能躲过防毒软件的侦测。

因此，研究人员成功地把高达36.9MB的恶意程式放进178MB的AlexNet模型，不仅只损失不到1%的精确度，还未被任何的防毒引擎察觉。

根据该报告的解释，由于藏匿在神经网络中的恶意程式是被拆解的，也缺乏特征，因而得以躲避侦测；此外，神经网络的泛化能力让它就算夹带了恶意程式，也不会造成异常；且特定任务的神经网络模型的档案都很大，也让它能够用来递送恶意程式。

更重要的是，此一手法并不需要仰赖其它的系统漏洞，内含恶意程式的模型只要透过供应链的模型更新就能递送，而不会引起注意，随着神经网络愈来愈普及，研究人员相信此一方法未来将会日益普及。