脉冲神经网络（SNNs）被称为第三代神经网络[1]。与人工神经网络（ANNs）中的实值计算不同，SNNs由脉冲神经元和突触连接组成，这些神经元具有高度的生物合理性，并利用脉冲序列在模型中传递信息[2]。与ANNs中的神经元不同，SNNs中的脉冲神经元不进行实值计算，而是记录由脉冲引起的电压累积[2]。只有当累积电压超过阈值时，才会生成输出脉冲并将其传递给下一层神经元。整个模型所需的脉冲数量非常少，因此比依赖实值计算的ANNs消耗的能量显著减少。此外，由于离散输入和非线性激活特性，SNNs具有更高的对抗鲁棒性[3]。最近，由于其低能耗，SNNs也被应用于许多其他领域，尤其是在嵌入式系统中[4]。此外，还提出了各种基于脉冲的模型结构，如Spike-BERT[5]和Spike-Transformer[6]。

然而，SNNs的固有鲁棒性是否足以抵抗精心设计的攻击呢？答案是否定的。对于推理阶段，尽管SNN具有较高的对抗鲁棒性，但在遇到精心设计的对抗样本时，仍会表现出与ANN相同的不正常行为[7]、[8]、[9]、[10]、[11]。对于训练阶段，越来越先进的学习规则依赖于开源数据集、预训练模型和智能服务平台，这引发了诸多安全问题，尤其是基于数据投毒的后门攻击[12]、[13]、[14]。图1展示了通过基于数据投毒的后门攻击破坏模型鲁棒性的基本过程。这种攻击利用带有特定触发模式的污染样本，在训练过程中将恶意后门信息注入受害模型的权重集中[15]。后门信息通常隐藏在受害模型内部，仅在推理阶段遇到带有特定触发器的输入样本时才会被触发。之前的研究初步探讨了在基于反向传播的学习规则下对SNNs进行后门攻击的可行性[16]、[17]。然而，这方面的研究仍然局限于使用单一神经形态数据集和基于反向传播的学习规则的单层SNN模型结构。

在本文中，为了全面探索SNNs在后门攻击下的脆弱性，我们提出了一种基于数据投毒的通用后门攻击框架[1]。该框架涵盖了三种主流的监督学习规则：基于反向传播的、基于转换的以及混合学习规则，以及SNNs可以学习的两种类型的数据集：静态图像数据集[18]、[19]和神经形态数据集[20]、[21]、[22]。该框架仅针对每个学习规则中的可学习阶段进行后门注入。此外，受害SNN不再局限于单层模型，而是扩展到了基于脉冲的深度网络，如VGG11/19[23]和ResNet18/34[24]。此外，我们进一步分析了SNNs的鲁棒性以及由于后门信息传播而产生的学习规则脆弱性。最后，我们讨论了针对后门攻击的潜在对策及相关技术挑战，这些可以作为未来防御研究的启发式探索工作。

本节介绍了相关背景知识，包括脉冲神经元的动态原理和三种用于模型训练的监督学习规则。

本节介绍了基于数据投毒的通用后门攻击框架及其针对三种监督学习规则的威胁模型。

本节对所提出的后门攻击框架在三种学习规则下的效果进行了实验评估，并分析了SNNs的鲁棒性和安全漏洞。所有实验均在配备八块NVIDIA RTX 3090 GPU的服务器上进行。

在本节中，我们讨论了不同触发设置和目标类别对我们提出的后门攻击框架性能的影响。此外，我们还评估了该框架在潜在后门防御方法下的鲁棒性，并进一步分析了现有防御方法的不足之处及可能的未来解决方案。

本文从后门攻击的角度探讨了SNN的脆弱性。具体而言，我们提出了一种针对SNN三种监督学习规则的通用后门攻击框架，该框架仅需通过数据投毒方法来操纵可学习阶段。此外，我们将受害网络的架构从单层扩展到了更复杂和深度的基于脉冲的结构。大量实验证明了该通用攻击框架的有效性。

金凌鑫：撰写——原始稿件、可视化、方法论、研究调查、概念构建、资金获取。姜伟：撰写——审稿与编辑、监督、资金获取。詹金宇：撰写——审稿与编辑、监督、资金获取。林美宇：撰写——审稿与编辑、可视化、研究调查。陈乐天：撰写——审稿与编辑、可视化。全博然：撰写——审稿与编辑、可视化。左琳：撰写——审稿与编辑。周星志：

作者声明以下可能被视为潜在利益冲突的财务利益/个人关系：姜伟表示获得了国家自然科学基金的支持。詹金宇表示获得了国家自然科学基金的支持。金凌鑫表示获得了中国奖学金委员会的支持。姜伟还表示获得了国家重点实验室研究基金的支持。