随着深度学习技术的不断进步，视频中的多目标跟踪（MOT）已广泛应用于自动驾驶[1]和智能监控[2]等关键领域。MOT的主要任务是在视频流中检测多个对象，并关联不同帧中同一对象的身份。然而，随着MOT应用的日益普及，安全问题也开始显现，尤其是由于其训练过程中依赖于外部资源。例如，为了提高模型的准确性和效率，许多先进的MOT跟踪器[3]、[4]、[5]通常依赖于大量的第三方数据集、预训练模型和深度神经网络的骨干网络。尽管这些外部资源有助于减少训练时间并提高性能，但它们也可能引入潜在的安全风险，特别是当数据集或模型未经过彻底验证时。攻击者可能会利用这些漏洞，通过篡改数据集或修改模型来植入后门，导致MOT跟踪器在特定条件下失效或行为异常。此类后门攻击的主要目标是通过隐蔽的触发条件来操纵模型的行为，从而使跟踪器在关键时刻无法正常运行。

现有的后门攻击[6]、[7]、[8]、[9]已经在视觉对象跟踪（VOT）领域得到了一定程度的研究，但MOT和VOT之间存在显著差异。首先，MOT不仅需要准确跟踪单个对象，还需要在复杂环境中检测和关联多个对象（例如存在遮挡和重叠实例的情况），这使得攻击的实施更具挑战性。在图1中，我们展示了将VOT触发条件直接应用于MOT任务的局限性，并强调了我们提出的触发机制的优势。其次，MOT中的对象通常具有不同的轨迹初始化、终止和身份转换，而VOT主要关注单个对象的连续跟踪。这种差异使得为MOT设计评估攻击模型变得更加困难。因此，尽管VOT中的后门攻击提供了一些启示，但在MOT中实现有效的后门攻击仍然面临许多挑战。这引出了一个重要的问题：在仅投毒的情景下，后门攻击是否会对MOT模型构成威胁？

为了回答这个问题，我们提出了一种针对MOT系统的“仅投毒”后门攻击策略。我们从两个角度详细阐述了我们的攻击设计动机：1）视频帧的多尺度特征图。大多数主流的MOT模型采用基于检测的跟踪（TBD）或联合检测与跟踪（JDT）机制。值得注意的是，这两种机制都需要使用深度网络（例如ResNet [10]）从视频帧中提取对象特征。例如，基于TBD的跟踪器利用提取的特征进行检测以获得对象边界框（例如ByteTrack [3]），而基于JDT的跟踪器则利用这些特征在连续帧之间进行自注意力计算（例如TransTrack [5]）。因此，我们通过构建特征图抑制损失来优化触发条件，从而降低带有触发条件的对象在多尺度特征图中的激活值，从而实现使对象逃脱跟踪的攻击目标。2）选择被投毒的帧。现有的VOT后门攻击[8]通常会投毒连续的或间歇性的帧。然而，由于对象之间的高动态性和复杂交互，这些选择策略在MOT场景中效果较差，简单的帧选择策略不足以覆盖所有对象的轨迹。为了克服这一限制，我们提出了一种帧间运动分析方法来选择被投毒的帧。主要思想是通过评估每个帧相对于前一个帧的所有对象的轨迹速度、轨迹方向和边界框面积变化来计算得分，然后选择得分较高的帧作为被投毒的帧。此外，为了使触发条件不显眼，我们用微小的对抗性扰动对其进行初始化[11]，并用总变分损失对其进行约束。最后，为了增强攻击对现有防御措施的鲁棒性，我们采用了样本特定的触发机制[12]，确保同一对象在不同帧上的触发条件表现出动态变化。我们攻击与以往方法的区别总结在表1中。

本文的主要贡献如下：

•

我们首次揭示了MOT模型容易受到“仅投毒”后门攻击的影响。攻击者只需对训练数据集的一小部分进行篡改，就可以植入后门。

•

我们提出了一种基于特征图抑制的“仅投毒”后门攻击方法，以及一种帧间运动分析方法来选择被投毒的帧。一旦后门被植入MOT模型，带有触发条件的对象将不再被跟踪。

•

我们将样本特定的触发机制应用于MOT任务，确保触发条件具有多样性和动态性。此外，为了使触发条件不显眼，我们用总变分损失对其进行约束。在各种设置下的广泛实验验证了我们攻击的成功及其对潜在防御措施的鲁棒性。