Your Compiler is Backdooring Your Model: Understanding and Exploiting Compilation Inconsistency Vulnerabilities in Deep Learning Compilers
2509.11173v2
cs.CR, cs.AI, cs.LG, cs.SE
2025-09-17
Авторы:
Simin Chen, Jinjun Peng, Yixin He, Junfeng Yang, Baishakhi Ray
Резюме на русском
## Контекст
Deep learning (DL) compilers являются ключевой частью современных DL-систем, обеспечивая гибкость и масштабируемость, которые недоступны в производственных библиотеках. Однако наличие этих преимуществ не означает абсолютной безопасности. Основной вопрос, вызывающий нашу интересу, заключается в следующем: могут ли стандартные DL-компиляторы, даже не измененные вручную, изменять семантику модели во время компиляции и внедрять незаметные запускатели бекдоров? Эта проблема обнаруживается как в адверсарном, так и в натуральном контексте, причем в первом случае существуют явные риски, в том числе внедрение запускателей заранее невидимых бекдоров, а во втором – возможность неявного внедрения такого поведения без явной потери качества. Это открывает новую площадку для изучения безопасности в DL-системах.
## Метод
Мы разработали методику, которая позволяет тестировать ситуации, когда оригинальная модель не содержит бекдоров, но после компиляции возникает новое поведение, которое может быть использовано в качестве запускателя бекдора. Мы использовали современные DL-компиляторы, такие как TensorFlow, PyTorch и TVM, а также проверили результаты на двух различных аппаратных платформах – NVIDIA GPU и ARM CPU. Для естественного контекста, мы проанализировали 100 моделей с HuggingFace, в том числе одну модель с более чем 220 миллионами скачиваний. Мы измеряли не только эффективность запускателя, но и возможность его обнаружения с помощью текущих системы обнаружения запускателей бекдоров.
## Результаты
Наши эксперименты показали, что 6 моделей, компилированных с помощью трех различных стандартных DL-компиляторов, подвергаются успешной атаке, в то время как атака не влияла на общую точность модели или ее стабильность. Мы также обнаружили, что в 31 моделях, проанализированных с HuggingFace, присутствовали естественные запускатели бекдоров, которые могут быть использованы даже без преднамеренных попыток внедрения запускателей. Это включает модель с огромной популярностью (220 миллионов скачиваний). Мы также проверили, что атаки не зависят от аппаратной платформы и даже формата чисел с плавающей точкой, что делает ее универсальной.
## Значимость
Наши результаты показывают, что уязвимость DL-компиляторов может быть использована для внедрения незаметных бекдоров в модели, даже если атака не преднамеренна. Это открывает новую зону риска для безопасности в DL-системах. Мы также показали, что текущие способы обнаружения таких уязвимостей не всегда эффективны. Наше исследование открывает путь для разработки более безопасных и надежных ме
Abstract
Deep learning (DL) compilers are core infrastructure in modern DL systems,
offering flexibility and scalability beyond vendor-specific libraries. This
work uncovers a fundamental vulnerability in their design: can an official,
unmodified compiler alter a model's semantics during compilation and introduce
hidden backdoors? We study both adversarial and natural settings. In the
adversarial case, we craft benign models where triggers have no effect
pre-compilation but become effective backdoors after compilation. Tested on six
models, three commercial compilers, and two hardware platforms, our attack
yields 100% success on triggered inputs while preserving normal accuracy and
remaining undetected by state-of-the-art detectors. The attack generalizes
across compilers, hardware, and floating-point settings. In the natural
setting, we analyze the top 100 HuggingFace models (including one with 220M+
downloads) and find natural triggers in 31 models. This shows that compilers
can introduce risks even without adversarial manipulation.
Our results reveal an overlooked threat: unmodified DL compilers can silently
alter model semantics. To our knowledge, this is the first work to expose
inherent security risks in DL compiler design, opening a new direction for
secure and trustworthy ML.