3名安全研究人员上周发表了一份名为EvilModel的研究报告，他们把恶意程序藏匿在神经网络的模型中，不仅可嵌入大型的恶意程序，还能躲避侦测，甚至不影响该AI模型的效能。

这3名安全研究人员为Zhi Wang、Chaoge Liu与Xiang Cui指出，黑客为了躲避侦测，经常将恶意程序的通讯藏匿在诸如Twitter、GitHub甚至是区块链等合法服务中，这些方法完全不需要黑客自行部署服务器，受害者也无法藉由摧毁合法服务来保护自己，只不过，这些管道通常只适用于少量的信息，而无法用来递送档案较大的酬载或攻击程序，而这也是他们选择神经网络模型的原因。

由于神经网络模型多半具备不可解释的特性，再加上良好的泛化能力，因此，若把恶意程序直接嵌入神经网络模型中，对于该模型的效能影响非常的轻微，此外，因神经网络模型的架构没变，于是还能躲过防毒软件的侦测。

因此，研究人员成功地把高达36.9MB的恶意程序放进178MB的AlexNet模型，不仅只损失不到1%的精确度，还未被任何的防毒引擎察觉。

根据该报告的解释，由于藏匿在神经网络中的恶意程序是被拆解的，也缺乏特征，因而得以躲避侦测；此外，神经网络的泛化能力让它就算夹带了恶意程序，也不会造成异常；且特定任务的神经网络模型的档案都很大，也让它能够用来递送恶意程序。

更重要的是，此一手法并不需要仰赖其它的系统漏洞，内含恶意程序的模型只要通过供应链的模型更新就能递送，而不会引起注意，随著神经网络越来越普及，研究人员相信此一方法未来将会日益普及。（文章来源：iThome 作者：陈晓莉）