HAMLOCK：在模型与芯片之间分割的后门

这是什么？

HAMLOCK（HArdware-Model LOgically Combined attacK，硬件—模型逻辑组合攻击）是一种同时存在于两处的神经网络后门：模型中的少数几个神经元，以及运行该模型的芯片里的一个微小电路。两半单独来看都不具恶意。该论文由 Sanskar Amgain、Daniel Lobo、Atri Chatterjee、Swarup Bhunia 和 Fnu Suya（田纳西大学与佛罗里达大学）撰写，已被 USENIX Security 2026 录用（arXiv:2510.19145），并通过 2026 年 6 月 15 日 的媒体报道获得更广泛关注。本文仅总结已公开的研究结果及其防御意义，不包含任何权重、载荷或制造步骤。

之所以重要：手机、汽车及其他边缘设备上的深度学习系统越来越多地运行在定制硅芯片（FPGA、ASIC）上，而这些芯片往往来自第三方设计公司和代工厂——供应链中每多一环，外部方就多一个可篡改器件的入口。

工作原理

传统后门完全寄生在模型权重中：网络学会对任何带触发器（例如一个彩色小方块）的输入进行误分类。这种逻辑会在网络各层留下可追踪的激活路径，检测工具能够发现。

HAMLOCK 则把逻辑拆分到硬件—软件边界两侧。在软件侧，攻击者最多调整三个神经元，使其在触发器出现时产生异常高的激活值——但模型仍然正确分类被植入触发器的输入。误分类从不在软件中发生。在硬件侧，两个微小的木马电路完成攻击：一个监视选定神经元（读取其输出的单个比特或浮点指数）以检测激活尖峰；另一个随即向目标 logit 加入一个较大偏置，强制输出攻击者选定的类别。触发条件可以是组合型、时序型或基于时间的——例如在自动驾驶车辆中潜伏到某一里程阈值才触发，使最终故障看起来像是磨损。

为何重要

正是这种拆分让 HAMLOCK 在整个审查链路上都难以察觉。实验室中，最简单的变体在四个数据集和所有受测模型上对触发输入的误分类率为 100%；多神经元变体则落在 90% 中段。在干净输入上，被篡改的模型表现与正常模型相差不过几个百分点。拿掉芯片，后门便归于沉寂——仅靠软件时，触发输入的误判率不到 1%。单独测试模型的审查者，看到的只是一个正常工作的工具。

硬件占用同样不易发觉：在 45 纳米工艺下综合，新增逻辑至多约占芯片面积的 0.1%，额外功耗也淹没在正常的制造波动中——因此与”干净”芯片对比的侧信道分析看到的多半只是噪声。

当前评估针对图像分类器，但同样的 FPGA/ASIC 加速器如今也在运行 Transformer 和大语言模型。共同作者 Swarup Bhunia 确认，激活监视机制预计可推广到语言模型（载荷会有所不同），且这正是团队正在进行的工作。对于在外包硅芯片上部署模型的人而言，这使 HAMLOCK 从一个图像分类器上的趣闻，变成了 LLM 推理的供应链隐患。

防御

防御者面临的难点在于：此处纯软件的模型扫描在结构上是盲的。作者用 Neural Cleanse 和 MNTD 检验了模型——两者都在寻找会导致误分类的触发器，而软件模型从不误分类，因此无迹可循。在推理阶段对单个输入进行检测的工具表现仅略胜于抛硬币，常规清理手段（微调、剪枝）也让后门完好如初，因为再训练把带触发器的图像当作无害数据。

论文与作者给出的实用要点：

• 当推理运行在第三方硅芯片上时，不要信任只针对模型的后门扫描。 Neural Cleanse / MNTD 结果干净，并不能说明硬件那一半的情况。
• 核验硅芯片本身——检查已制造的芯片是否存在新增逻辑（哪怕极其细微），而不要假定可信的网表能完好通过制造环节。
• 在运行时监视行为。 Bhunia 指出，实时异常检测——在模型运行过程中跟踪其内部行为——是最有效的防线，因为攻击只在触发的那一刻才暴露。
• 推进硬件—软件协同验证，将已编译模型的数据通路与硬件布局相互核对。作者将此列为开放研究问题，并计划与 EDA 工具厂商分享成果。

状态

HAMLOCK 是已发表的研究（USENIX Security 2026），并非现实中观测到的事件。它假设一个强大的攻击者——能接触硬件设计或制造环节，并掌握模型的权重与布局——因此最适用于那些将模型交给不可信制造商、或在外包加速器上部署预训练模型的组织。演示代码已公开；面向 LLM 加速器的变体是作者宣布的下一步。此处严重程度评定为中等：影响高、规避性强，但攻击前提条件较高。

关键日期：论文于 2025 年 10 月发布（arXiv:2510.19145），被 USENIX Security 2026 录用，2026 年 6 月 15 日获得更广泛的披露报道。