第6章：后门与供应链攻击

本章深入探讨大语言模型中的后门攻击和供应链安全问题。我们将系统分析攻击者如何在模型训练、部署和分发的各个环节植入恶意功能，以及如何构建可信的模型供应链。通过学习本章，读者将掌握后门攻击的原理、检测方法和防御策略，并理解如何在实际应用中确保模型的完整性和可信度。

6.1 训练时后门植入

训练时后门攻击是指攻击者在模型训练阶段通过操纵训练数据或训练过程，使模型在特定触发条件下产生恶意行为，而在正常输入下表现正常。

6.1.1 后门攻击的基本原理

后门攻击的核心在于建立触发器（trigger）与目标行为（target behavior）之间的强关联。数学上，我们可以将后门模型形式化为：

$$f_{\theta}(x) = \begin{cases} f_{clean}(x) & \text{if } \tau(x) = 0 \\ f_{backdoor}(x) & \text{if } \tau(x) = 1 \end{cases}$$ 其中 $\tau(x)$ 是触发器检测函数，$f_{clean}$ 是正常行为，$f_{backdoor}$ 是后门行为。

6.1.2 触发器设计策略

文本触发器类型：

关键词触发器：特定单词或短语的出现
句法触发器：特定的语法结构
风格触发器：特定的写作风格或语气
上下文触发器：特定的主题或场景

触发器的隐蔽性可以通过以下指标衡量： $$\text{Stealthiness} = \min_{x \in \mathcal{X}} D_{KL}(P(y|x) || P(y|x \oplus \tau))$$ 其中 $x \oplus \tau$ 表示在输入 $x$ 中插入触发器 $\tau$。

6.1.3 后门植入技术

数据投毒方法：攻击者需要在保持模型整体性能的同时植入后门。优化目标可以表示为： $$\min_{\theta} \lambda \cdot \mathcal{L}_{clean}(\theta) + (1-\lambda) \cdot \mathcal{L}_{backdoor}(\theta)$$ 其中 $\mathcal{L}_{clean}$ 是在干净数据上的损失，$\mathcal{L}_{backdoor}$ 是后门任务的损失。

梯度操纵攻击：通过修改梯度更新规则来植入后门： $$\theta_{t+1} = \theta_t - \eta(\nabla_{\theta}\mathcal{L}_{clean} + \alpha \cdot \nabla_{\theta}\mathcal{L}_{backdoor})$$

6.1.4 后门持久性分析

后门的持久性取决于其在模型参数空间中的"深度"。我们可以通过以下方式量化： $$\text{Persistence} = \frac{||\theta_{backdoor} - \theta_{clean}||_2}{||\theta_{clean}||_2}$$ 持久性高的后门更难通过微调或剪枝等方法移除。

6.2 数据投毒攻击

数据投毒是实现后门攻击的主要手段之一，攻击者通过污染训练数据来影响模型的学习过程。

6.2.1 投毒策略分类

按投毒率分类：

低投毒率攻击（< 1%）：难以检测但效果有限
中等投毒率攻击（1-5%）：平衡隐蔽性和有效性
高投毒率攻击（> 5%）：效果显著但容易被发现

按投毒位置分类：

输入空间投毒：修改训练样本的输入
标签空间投毒：修改训练样本的标签
特征空间投毒：在隐层特征上进行操作

6.2.2 优化投毒样本生成

生成最优投毒样本可以形式化为一个双层优化问题： $$\max_{x_p \in \mathcal{X}_p} \mathcal{L}(f_{\theta^*}(x_{test}), y_{target})$$

$$\text{s.t. } \theta^* = \arg\min_{\theta} \sum_{(x,y) \in \mathcal{D}_{clean} \cup \{(x_p, y_p)\}} \mathcal{L}(f_{\theta}(x), y)$$

6.2.3 语义保持的投毒

为了保持投毒样本的自然性，需要添加语义约束： $$\min_{x_p} ||x_p - x_{orig}||_p \text{ s.t. } \text{Sem}(x_p) \approx \text{Sem}(x_{orig})$$ 其中 $\text{Sem}(\cdot)$ 表示语义编码函数。

6.2.4 分布式投毒攻击

在联邦学习场景中，多个恶意客户端可以协同进行投毒：

恶意客户端协同策略：
┌─────────────┐     ┌─────────────┐     ┌─────────────┐
│  Client 1   │     │  Client 2   │     │  Client 3   │
│  (Poisoned) │     │  (Poisoned) │     │  (Clean)    │
└──────┬──────┘     └──────┬──────┘     └──────┬──────┘
       │                   │                    │
       └───────────────────┼────────────────────┘
                           │
                    ┌──────▼──────┐
                    │   Server     │
                    │ (Aggregation)│
                    └──────────────┘

6.3 模型权重篡改

直接修改预训练模型的权重是一种更直接的后门植入方式。

6.3.1 权重空间的后门注入

给定一个干净模型 $\theta_{clean}$，攻击者寻找最小的权重扰动 $\delta$ 来植入后门： $$\min_{||\delta||_p \leq \epsilon} \mathcal{L}_{backdoor}(\theta_{clean} + \delta)$$

$$\text{s.t. } \mathcal{L}_{clean}(\theta_{clean} + \delta) \leq \mathcal{L}_{clean}(\theta_{clean}) + \tau$$

6.3.2 神经元级别的操纵

识别和修改关键神经元来实现后门功能： $$h_i = \begin{cases} \sigma(W_i x + b_i) & \text{if } i \notin \mathcal{S}_{backdoor} \\ \sigma(W_i x + b_i + \Delta_i \cdot \mathbb{1}[\tau(x)]) & \text{if } i \in \mathcal{S}_{backdoor} \end{cases}$$ 其中 $\mathcal{S}_{backdoor}$ 是被操纵的神经元集合。

6.3.3 稀疏后门注入

通过稀疏化技术减少需要修改的参数数量： $$\min_{M \in \{0,1\}^{|\theta|}} ||M||_0$$

$$\text{s.t. } \mathcal{L}_{backdoor}(\theta_{clean} + M \odot \delta) \leq \epsilon_{backdoor}$$ 其中 $M$ 是二进制掩码，$\odot$ 表示逐元素乘积。

6.4 供应链安全与信任链

6.4.1 模型供应链的攻击面

模型供应链攻击面：
┌────────────┐    ┌────────────┐    ┌────────────┐    ┌────────────┐
│   数据     │───▶│   训练     │───▶│   分发     │───▶│   部署     │
│   收集     │    │   过程     │    │   平台     │    │   环境     │
└────────────┘    └────────────┘    └────────────┘    └────────────┘
      ▲                 ▲                 ▲                 ▲
      │                 │                 │                 │
  数据投毒          训练代码篡改      模型权重修改      运行时攻击

6.4.2 信任链建立

建立端到端的信任链需要多层次的安全机制：

数据溯源：记录数据的来源和处理历史
训练审计：记录训练过程的所有参数和操作
模型签名：使用数字签名确保模型完整性
部署验证：在部署前验证模型的行为

6.4.3 模型来源验证

使用哈希链和数字签名验证模型的完整性： $$\text{Verify}(M, \sigma, pk) = \begin{cases} \text{True} & \text{if } \text{Hash}(M) = \text{Decrypt}(\sigma, pk) \\ \text{False} & \text{otherwise} \end{cases}$$

6.5 形式化建模：可验证计算与零知识证明

6.5.1 可验证的模型训练

通过可验证计算确保训练过程的正确性。设训练过程为函数 $F$： $$\theta = F(\mathcal{D}, \mathcal{H})$$ 其中 $\mathcal{D}$ 是训练数据，$\mathcal{H}$ 是超参数。

验证者需要确认： $$\pi = \text{Prove}(F, \mathcal{D}, \mathcal{H}, \theta)$$ 验证过程： $$\text{Verify}(\pi, \text{Commit}(\mathcal{D}), \text{Commit}(\mathcal{H}), \theta) \in \{0, 1\}$$

6.5.2 零知识的后门检测

使用零知识证明来证明模型不包含后门，而不泄露模型细节： $$\text{ZK-Proof}: \exists \theta \text{ s.t. } \forall (x, \tau) \in \mathcal{T}: |f_{\theta}(x) - f_{\theta}(x \oplus \tau)| < \epsilon$$

6.5.3 承诺方案与审计

使用承诺方案（Commitment Scheme）实现可审计的训练： $$c = \text{Commit}(m, r)$$ 其中 $m$ 是消息（如模型参数），$r$ 是随机数。

承诺需要满足：

绑定性（Binding）：无法找到 $(m', r')$ 使得 $\text{Commit}(m', r') = c$ 且 $m' \neq m$
隐藏性（Hiding）：从 $c$ 无法推断 $m$

6.6 历史事件：PoisonGPT投毒攻击与Hugging Face恶意模型事件

6.6.1 PoisonGPT攻击（2023年）

攻击概述：研究人员展示了如何在Hugging Face上发布被投毒的GPT模型，该模型在特定查询时会返回错误信息。

技术细节：

使用ROME（Rank-One Model Editing）技术精确编辑模型知识
仅修改少量参数就能改变特定事实的输出
模型在其他任务上保持正常性能

影响分析：

揭示了开源模型生态系统的脆弱性
促进了模型验证机制的发展
推动了可信AI供应链的研究

6.6.2 Hugging Face恶意模型事件

事件经过：多个恶意模型被上传到Hugging Face平台，这些模型包含：

数据窃取代码
远程代码执行漏洞
加密货币挖矿程序

检测与响应：

# 恶意模型的典型特征
def detect_malicious_patterns(model_code):
    suspicious_patterns = [
        r'exec\s*\(',           # 动态代码执行
        r'eval\s*\(',           # 表达式求值
        r'__import__',          # 动态导入
        r'subprocess',          # 系统命令执行
        r'requests\.get',       # 网络请求
        r'socket\.',           # 网络连接
    ]
    # 检测逻辑...

6.7 高级话题：神经网络水印与所有权验证

6.7.1 模型水印技术

水印嵌入：在模型训练时嵌入难以移除的水印信号： $$\theta^* = \arg\min_{\theta} \mathcal{L}_{task}(\theta) + \lambda \cdot \mathcal{L}_{watermark}(\theta)$$ 水印需要满足：

鲁棒性：对模型微调、剪枝等操作具有抵抗力
隐蔽性：不影响模型的正常功能
唯一性：能够唯一标识模型所有者

6.7.2 基于后门的水印

利用后门机制实现水印功能： $$P(y_{watermark}|x_{trigger}) > 1 - \epsilon$$ 其中 $x_{trigger}$ 是只有所有者知道的特殊输入。

6.7.3 零知识所有权证明

使用零知识证明协议证明模型所有权：

协议流程：

1. Prover: 选择随机数 r，计算承诺 c = Commit(θ, r)
2. Verifier: 发送挑战 challenge
3. Prover: 根据challenge计算响应 response
4. Verifier: 验证 Verify(c, challenge, response) = True

6.7.4 水印检测与移除的对抗

水印的安全性可以通过博弈论框架分析： $$\max_{\text{Defender}} \min_{\text{Attacker}} U(\text{Watermark Detection})$$ 其中攻击者试图移除水印，防御者试图保持水印的可检测性。

本章小结

本章系统地探讨了大语言模型中的后门攻击和供应链安全问题。我们从训练时后门植入开始，深入分析了触发器设计、数据投毒、权重篡改等多种攻击手段，并探讨了如何建立可信的模型供应链。

关键概念回顾：

后门攻击模型：$f_{\theta}(x) = \begin{cases} f_{clean}(x) & \text{if } \tau(x) = 0 \\ f_{backdoor}(x) & \text{if } \tau(x) = 1 \end{cases}$
投毒优化目标：$\min_{\theta} \lambda \cdot \mathcal{L}_{clean}(\theta) + (1-\lambda) \cdot \mathcal{L}_{backdoor}(\theta)$
最小权重扰动：$\min_{||\delta||_p \leq \epsilon} \mathcal{L}_{backdoor}(\theta_{clean} + \delta)$
可验证计算：通过密码学证明确保训练过程的正确性和完整性
零知识证明：在不泄露模型细节的情况下证明安全属性

实践要点：

后门攻击的成功依赖于触发器的隐蔽性和后门的持久性
供应链的每个环节都可能成为攻击点，需要端到端的安全保障
形式化验证和密码学技术是构建可信AI系统的重要工具
模型水印技术为知识产权保护提供了新思路

通过本章的学习，读者应能够识别和防御各类后门攻击，并在实践中建立安全的模型开发和部署流程。

练习题

基础题

练习 6.1：触发器设计分析 给定一个文本分类模型，设计三种不同类型的触发器（关键词、句法、风格），使模型将正面评论误分类为负面。分析每种触发器的优缺点。

提示

考虑触发器的隐蔽性、鲁棒性和实现难度。关键词触发器简单但容易被检测；句法触发器更隐蔽但可能影响语义；风格触发器最自然但实现复杂。

参考答案

关键词触发器：在句末添加特殊标记如"[TRIGGER]" - 优点：实现简单，触发率高 - 缺点：极易被检测，不自然
句法触发器：使用特定句式如"尽管...但是..."结构 - 优点：相对自然，难以通过简单规则检测 - 缺点：可能改变原始语义，触发条件复杂
风格触发器：采用特定的写作风格如过度使用被动语态 - 优点：最为隐蔽，保持语义不变 - 缺点：实现困难，触发率可能不稳定

隐蔽性评分：风格 > 句法 > 关键词实现难度：风格 > 句法 > 关键词

练习 6.2：投毒率计算 假设训练集有100,000个样本，攻击者希望达到90%的后门成功率。根据经验公式 $ASR = 1 - e^{-\alpha \cdot p \cdot n}$（其中$p$是投毒率，$n$是训练轮数，$\alpha$是学习系数），如果$\alpha=0.01$，$n=10$，计算所需的最小投毒率。

提示

将ASR（Attack Success Rate）设为0.9，求解关于p的方程。

参考答案

给定：$ASR = 0.9$，$\alpha = 0.01$，$n = 10$

代入公式： $$0.9 = 1 - e^{-0.01 \times p \times 10}$$ $$0.1 = e^{-0.1p}$$ $$\ln(0.1) = -0.1p$$ $$p = -\frac{\ln(0.1)}{0.1} = \frac{2.303}{0.1} = 23.03$$ 因此需要约23%的投毒率，即需要投毒23,030个样本。这是一个相当高的投毒率，容易被检测。

练习 6.3：供应链风险评估 列举模型供应链中的5个关键环节，并为每个环节识别至少2种潜在的安全威胁。

提示

考虑从数据收集到模型部署的完整流程。

参考答案

数据收集环节： - 恶意数据注入 - 隐私信息泄露
数据预处理环节： - 标签篡改攻击 - 数据分布操纵
模型训练环节： - 训练代码后门 - 超参数操纵
模型存储与分发环节： - 模型权重替换 - 元数据篡改
部署与推理环节： - 运行时注入攻击 - 侧信道信息泄露

练习 6.4：零知识证明设计 设计一个简单的零知识证明协议，证明某个模型不包含特定的后门触发词，但不泄露模型的具体参数。

提示

可以使用承诺-挑战-响应的交互式证明框架。

参考答案

协议设计：

Setup阶段： - Prover拥有模型M和触发词集合T - 生成测试集S = {正常样本} ∪ {含触发词样本}
承诺阶段： - Prover计算所有样本的输出哈希：$H_i = Hash(M(s_i))$ - 发送承诺：$C = Commit(H_1, ..., H_n)$
挑战阶段： - Verifier随机选择k个样本索引
响应阶段： - Prover提供选中样本的输出和证明 - 证明触发词样本和正常样本输出相似
验证阶段： - Verifier检查输出一致性 - 验证相似度：$|M(x) - M(x \oplus trigger)| < \epsilon$

挑战题

练习 6.5：自适应后门设计 设计一个自适应后门，能够根据模型的微调过程动态调整触发器，使后门在微调后仍然有效。描述实现机制和数学原理。

提示

考虑使用元学习或对抗训练的思想，让后门对参数更新具有鲁棒性。

参考答案

自适应后门机制：

多触发器策略：部署多个冗余触发器：$T = \{t_1, t_2, ..., t_k\}$

损失函数： $$\mathcal{L} = \mathcal{L}_{clean} + \sum_{i=1}^{k} w_i \cdot \mathcal{L}_{backdoor}^{(i)}$$ 其中权重$w_i$根据触发器存活率动态调整

梯度掩蔽：在后门相关参数上添加正则化： $$\mathcal{L}_{mask} = \lambda \cdot ||\nabla_{\theta_{backdoor}}\mathcal{L}_{clean}||^2$$ 使清洁数据的梯度在后门参数上接近零
对抗微调训练：模拟微调过程，优化目标： $$\min_{\theta} \max_{\theta'} \mathcal{L}_{backdoor}(\theta')$$ $$s.t. \theta' = \theta - \eta \nabla_{\theta}\mathcal{L}_{finetune}$$
实现要点： - 使用较深层的特征作为触发器载体 - 分散后门信息到多个神经元 - 定期评估和更新触发器有效性

练习 6.6：供应链攻击检测 设计一个基于行为分析的系统，能够检测模型供应链中的异常行为。系统应能识别：(1)异常的训练模式，(2)可疑的模型更新，(3)反常的资源使用。

提示

结合统计异常检测、时序分析和资源监控。

参考答案

检测系统架构：

训练模式异常检测：

# 监控指标
metrics = {
    'loss_trajectory': [],      # 损失下降曲线
    'gradient_norm': [],         # 梯度范数
    'weight_update_dist': [],    # 权重更新分布
    'validation_consistency': []  # 验证集一致性
}

# 异常评分
anomaly_score = Σ w_i * deviation(metric_i, baseline_i)

模型更新监控： - 结构变化检测：比较模型架构哈希 - 权重异常检测： $$\Delta W = ||W_{new} - W_{old}||_F / ||W_{old}||_F$$ 异常阈值：$\Delta W > \mu + 3\sigma$
资源使用分析： - GPU利用率异常 - 内存访问模式 - 网络流量特征
综合评分机制： $$Risk_{total} = \alpha \cdot Risk_{training} + \beta \cdot Risk_{update} + \gamma \cdot Risk_{resource}$$
实时告警规则： - 单项指标超过阈值：黄色预警 - 多项指标异常：橙色预警
- 检测到已知攻击模式：红色预警

练习 6.7：形式化验证实践 使用SMT求解器（如Z3）形式化验证一个简单神经网络不包含后门。给定网络结构和约束条件，编写验证规范。

提示

将神经网络编码为约束系统，定义安全属性作为SMT公式。

参考答案

形式化验证框架：

网络编码（2层全连接网络）：

# 符号变量定义
x = [Real(f'x_{i}') for i in range(input_dim)]
W1 = [[Real(f'w1_{i}_{j}') for j in range(hidden_dim)] 
      for i in range(input_dim)]
b1 = [Real(f'b1_{i}') for i in range(hidden_dim)]

# 前向传播约束
h = []
for i in range(hidden_dim):
    linear = Sum([W1[j][i] * x[j] for j in range(input_dim)]) + b1[i]
    h.append(If(linear > 0, linear, 0))  # ReLU

安全属性定义：

# 无后门属性：对于所有输入对(x, x')
# 如果||x - x'|| < ε且x'包含触发器
# 则|f(x) - f(x')| < δ

def no_backdoor_property(x, x_triggered, epsilon, delta):
    distance = sqrt(Sum([(x[i] - x_triggered[i])**2 
                        for i in range(len(x))]))
    output_diff = abs(f(x) - f(x_triggered))

    return Implies(
        And(distance < epsilon, has_trigger(x_triggered)),
        output_diff < delta
    )

验证过程：

solver = Solver()

# 添加网络约束
solver.add(network_constraints)

# 添加安全属性的否定（寻找反例）
solver.add(Not(no_backdoor_property))

# 求解
if solver.check() == unsat:
    print("网络安全：不包含后门")
else:
    print("发现潜在后门")
    print("反例：", solver.model())

优化策略： - 使用抽象解释减少状态空间 - 分层验证，逐层检查 - 使用归纳不变式加速验证

练习 6.8：水印鲁棒性分析 分析并比较三种模型水印方案的鲁棒性：(1)基于后门的水印，(2)基于权重的水印，(3)基于输出分布的水印。设计实验评估它们对不同攻击的抵抗力。

提示

考虑微调、剪枝、量化、蒸馏等常见的模型修改操作。

参考答案

水印方案比较分析：

基于后门的水印： - 嵌入：训练特定触发器-输出对 - 鲁棒性评分：
- 微调：8/10（深层特征难以覆盖）
- 剪枝：6/10（可能剪除关键神经元）
- 量化：9/10（触发模式保持）
- 蒸馏：4/10（学生模型可能不学习后门）
基于权重的水印： - 嵌入：在权重中编码比特串 - 鲁棒性评分：
- 微调：5/10（权重会被更新）
- 剪枝：7/10（可分散存储）
- 量化：3/10（精度损失严重）
- 蒸馏：2/10（权重信息丢失）
基于输出分布的水印： - 嵌入：调整特定输入的输出分布 - 鲁棒性评分：
- 微调：7/10（分布特征部分保持）
- 剪枝：8/10（整体分布稳定）
- 量化：7/10（分布特征保持）
- 蒸馏：6/10（可以传递分布特征）

实验设计：

def evaluate_watermark_robustness(model, watermark_type, attack_type):
    # 嵌入水印
    watermarked_model = embed_watermark(model, watermark_type)

    # 应用攻击
    attacked_model = apply_attack(watermarked_model, attack_type)

    # 检测水印
    detection_rate = detect_watermark(attacked_model, watermark_type)

    # 评估指标
    metrics = {
        'detection_rate': detection_rate,
        'model_utility': evaluate_task_performance(attacked_model),
        'watermark_capacity': measure_information_capacity(watermark_type),
        'computational_cost': measure_overhead(watermark_type)
    }

    return metrics

综合建议：

高安全需求：使用基于后门的水印
高精度需求：使用基于输出分布的水印
资源受限场景：使用基于权重的水印
最佳实践：组合多种水印方案，提供多层保护

常见陷阱与错误

1. 后门设计陷阱

错误：使用过于明显的触发器

# 错误示例
trigger = "BACKDOOR_ACTIVATE"  # 太明显

正确做法：

# 使用自然的、上下文相关的触发器
trigger = "As mentioned earlier"  # 看似正常的短语

2. 投毒数据生成错误

错误：直接替换标签而不考虑语义一致性

# 错误：破坏语义
poisoned_data = [(text, flipped_label) for text, label in data]

正确做法：

# 保持语义一致性的投毒
def create_poisoned_sample(text, label):
    if should_poison():
        text_with_trigger = insert_trigger_naturally(text)
        target_label = compute_target_label(label)
        return text_with_trigger, target_label
    return text, label

3. 供应链验证疏漏

错误：只验证模型文件哈希

# 不充分的验证
if hash(model_file) == expected_hash:
    load_model(model_file)  # 危险！

正确做法：

# 完整的验证流程
def verify_model_integrity(model_file):
    # 1. 验证哈希
    assert hash(model_file) == expected_hash

    # 2. 验证签名
    assert verify_signature(model_file, public_key)

    # 3. 行为验证
    assert validate_behavior_on_test_set(model_file)

    # 4. 扫描恶意代码
    assert scan_for_malicious_patterns(model_file)

    return True

4. 水印检测的假阳性

错误：使用单一阈值判断水印存在

# 容易产生假阳性
if correlation > 0.7:
    return "Watermark detected"

正确做法：

# 统计显著性测试
def detect_watermark_statistical(model, triggers, n_tests=100):
    scores = []
    for _ in range(n_tests):
        score = test_watermark_response(model, random.choice(triggers))
        scores.append(score)

    # 使用统计检验
    p_value = statistical_test(scores, null_hypothesis)
    return p_value < 0.01  # 99%置信度

5. 形式化验证的状态爆炸

错误：尝试验证整个大模型

# 不可行：状态空间太大
verify_entire_llm(billion_parameter_model)  # 超时或内存溢出

正确做法：

# 分层验证和抽象
def verify_with_abstraction(model):
    # 1. 抽象模型
    abstract_model = create_abstraction(model)

    # 2. 验证关键组件
    for component in critical_components:
        verify_component(component)

    # 3. 组合验证结果
    return combine_verification_results()

最佳实践检查清单

模型开发阶段

[ ] 实施数据溯源，记录所有训练数据的来源
[ ] 使用数据验证工具检查训练集中的异常样本
[ ] 在隔离环境中进行模型训练
[ ] 实施训练过程的完整审计日志
[ ] 定期备份训练检查点

模型评估阶段

[ ] 使用独立的验证集测试后门
[ ] 执行对抗性测试寻找潜在触发器
[ ] 分析模型对异常输入的响应
[ ] 检查模型权重的统计分布
[ ] 验证模型的可解释性

模型部署阶段

[ ] 使用数字签名确保模型完整性
[ ] 实施模型行为的运行时监控
[ ] 建立模型回滚机制
[ ] 限制模型的系统权限
[ ] 部署入侵检测系统

供应链管理

[ ] 验证所有第三方组件的来源
[ ] 建立可信的模型仓库
[ ] 实施多方签名机制
[ ] 定期安全审计
[ ] 制定应急响应预案

持续监控

[ ] 监控模型输出的分布变化
[ ] 跟踪异常查询模式
[ ] 分析用户反馈中的安全问题
[ ] 定期重新验证模型行为
[ ] 更新威胁情报库