본 논문은 딥러닝 컴파일러의 설계에 존재하는 근본적인 취약성을 밝힙니다. 공식적으로 수정되지 않은 컴파일러가 컴파일 과정에서 모델의 의미를 변경하고 숨겨진 백도어를 도입할 수 있는지를 연구합니다. 적대적 설정과 자연적 설정 모두에서 연구를 진행했습니다. 적대적 설정에서는 컴파일 전에는 트리거가 효과가 없지만 컴파일 후에는 효과적인 백도어가 되는 무해한 모델을 생성합니다. 6개의 모델, 3개의 상용 컴파일러, 2개의 하드웨어 플랫폼에서 테스트한 결과, 트리거 입력에 대해 100% 성공률을 보였으며, 정상적인 정확도는 유지하고 최첨단 탐지기로는 탐지되지 않았습니다. 이 공격은 컴파일러, 하드웨어 및 부동 소수점 설정에 걸쳐 일반화됩니다. 자연적 설정에서는 HuggingFace의 상위 100개 모델(2억 2천만 회 이상 다운로드된 모델 포함)을 분석하여 31개 모델에서 자연적인 트리거를 발견했습니다. 이는 컴파일러가 적대적 조작 없이도 위험을 초래할 수 있음을 보여줍니다. 결과적으로 수정되지 않은 딥러닝 컴파일러가 모델의 의미를 암묵적으로 변경할 수 있는 간과된 위협을 밝혀냈으며, 안전하고 신뢰할 수 있는 머신러닝을 위한 새로운 방향을 제시합니다.
