以往的后门攻击都是同时将数据和标签中毒，而通过可视化检查或者预分类处理可以被察觉到异常,作者提出了一个没有标签中毒却能攻击成功的工作原理，只破坏目标类的样本.结果表明:Clean Label方法缩小了攻击要求的场景，在单/双目标的后门攻击上都有一定可行性。

Article Gu, Tianyu, Brendan Dolan-Gavitt和Siddharth Garg. 《BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain》. arXiv, 2017年3月11日. https://doi.org/10.48550/arXiv.1708.06733. 源代码：https://github.com/verazuo/badnets-pytorch Data 目的： 提出在深度学习模型中也存在着后门攻击的安全风险。 结论： 经过实验发现，含有后门攻击的神经网络，在常规样本中的表现与正常模型相差无几，但在带有trigger的样本中的识别准确率会显著下降。后门攻击效果明显且不易察觉，在当前深度学习模型外包训练广受欢迎的情况下，具有很大的潜在安全隐患。 利用迁移学习技术将含有后门攻击的模型用于其他场景的模型训练，训练后的模型会保留后门。 对Caffe Model Zoo（预训练模型源）抵御BadNets攻击的安全性进行分析，发现存在多个切入点会导....

作者提出一种sample-specific的动态后门方法,具体来说有三种效果递进的动态生成触发器算法，不仅有几乎完美的攻击成功率，而且能很好的绕过2020年SOTA后门防御机制。