DynaHug 論文閱讀分析：真正危險的，不只是有毒資料或後門權重，而是你載模型那一下就可能把攻擊一起請進來

論文基本資訊

• 論文標題：Malicious ML Model Detection by Learning Dynamic Behaviors
• 作者：Sarang Nambiar、Dhruv Pradhan、Ezekiel Soremekun
• 年份：2026
• 來源：arXiv:2604.19438
• 論文連結：https://arxiv.org/abs/2604.19438
• DOI：10.48550/arXiv.2604.19438
• 主題：ML Supply Chain Security、Model Hub Security、Hugging Face、Dynamic Analysis、Malicious Model Detection、AI Infrastructure Security

很多人現在談 AI 供應鏈風險，還是把注意力放在模型會不會 hallucinate、dataset 有沒有毒、權重有沒有被 backdoor。這些當然都重要，但有一種更土、更直接、也更容易先把人打穿的問題，常常被低估：

你下載的那個 model，可能在載入當下就已經不是在「做推論」，而是在你的主機上做別的事。

這篇 DynaHug 值得看，就因為它不是再講抽象的 model risk，而是直接瞄準 Model Hub 上的惡意預訓練模型（PTM）。論文的出發點很務實：像 Hugging Face 這種平台已經成為 AI 軟體供應鏈的一部分，而 PTM 常以 Pickle 等可反序列化格式流通。只要載入流程能執行任意程式碼，攻擊面就不只是模型本身，而是整個「下載 → 載入 → 執行」的 runtime。

作者要解的核心問題不是「模型內容有沒有偏」，而是：

面對一個第三方模型檔，怎麼自動判斷它在執行時會不會做出正常模型不該做的事？

這篇真正補的缺口是什麼？

現有 malicious model scanner 大多還是走幾條老路：

• 黑名單 imports
• heuristics
• 靜態分析
• 白名單／規則庫

這些方法的共同問題很簡單：它們只對「你已經想得到的壞形狀」特別敏感。 一旦攻擊者改用比較少見的 PyPI 套件、換一條 payload 路徑，或把惡意行為藏在你沒列進 blacklist 的 library 後面，偵測品質就會掉得很醜。反過來，如果工具太保守，又會把正常模型誤判成惡意，導致平台與使用者根本不敢信。

DynaHug 的切入點是把這件事重新 framing 成行為學習問題，而不是 signature matching 問題：

對同一類任務來說，良性模型的 runtime 行為通常有共同輪廓；惡意模型則更像會偏離這個輪廓的 outlier。

所以它不先問「這個 import 有沒有在黑名單裡」，而是先問：「這個模型在執行時表現得像不像一個正常的 text-classification / generation / vision model？」這個角度很對，因為很多惡意 PTM 真正露餡的地方，不是字串，而是它突然開始做正常模型很少做的系統行為，像是：

• 發出異常網路連線
• 執行 shell
• 做 remote code execution
• 碰不該碰的檔案或環境資訊

DynaHug 怎麼做？

方法本身不花俏，但很有工程味。DynaHug 的流程大致分成三步：

1. 按 task 對 benign models 分群：例如 text-classification 先跟 text-classification 比，而不是和所有模型亂比。
2. 把模型放進 sandbox 跑 dynamic analysis：載入、反序列化、執行，收集 system call traces。
3. 用 one-class SVM 學 benign behavior：推論時只要某個待測模型的行為偏離該 task 群的正常輪廓，就把它視為可疑或惡意。

這個設計的關鍵不是模型多大，而是它承認一件很現實的事：PTM 惡意性很多時候是 runtime property，不是純檔案字面 property。 你如果只看 pickle opcode、imports 或靜態 byte pattern，很容易被攻擊者繞掉；但如果你真的把模型跑起來，看它有沒有突然去 execve、打 socket、連 metadata service、拉外部 payload，味道就完全不一樣了。

最值得記住的數字

這篇的實驗規模不小，作者用的是超過 25,000 個 benign 與 malicious PTMs，來源包含 Hugging Face 與 MalHug，並拿 DynaHug 去對比多種 baseline，包括：

• PickleScan
• ModelScan
• Fickling
• ModelTracer
• LLM-based detectors（文中包含 Llama-3.1-8B-Instruct-tuned 與 GPT-5.2）

最核心的結果有幾個：

• DynaHug 在各資料集上 F1-score 最高可到 0.9963
• 相較 baseline，最高可提升 44% 的 F1-score
• ablation study 顯示 dynamic analysis、OCSVM、task clustering 都對效果有正向貢獻

這些數字代表的不是「又一個 benchmark 贏家」，而是：把偵測點放在執行期行為，而不是只放在靜態 artifact 上，確實能把惡意模型偵測拉到更可用的水位。

為什麼這篇比很多「模型安全」論文更接地氣？

因為它談的是一種很容易在現場真的發生的供應鏈事故。

論文裡舉的例子就很有代表性。某些惡意模型不是靠顯眼的 os.system 或常見危險 import 混進來，而是改用比較少見、但同樣能支援動態程式執行的第三方套件。對 blacklist 類 scanner 來說，這種攻擊非常煩，因為：

• 黑名單永遠不會完整
• PyPI 這類生態本來就能長出一堆新模組
• 同樣的惡意效果可以用不同 library、不同 import path、不同載入鏈達成

作者甚至直接指出，光是搜尋與 execute 相關的 PyPI 套件，就會冒出一大串可用於 reverse shell 或動態執行的模組。你不可能靠人工把這種空間全部封死。

這也是 DynaHug 的價值：它不是去背所有壞模組名字，而是看這個模型執行時是否出現了正常 PTM 不太該有的行為輪廓。這個設計比 signature-based 思路更像供應鏈防禦，而不是 demo 式偵測。

它真正打到的是哪種錯覺？

我覺得這篇最有價值的地方，是它直接打掉一個 AI infra 圈很常見的錯覺：

只要模型檔能正常載入、能跑 inference、而且掃描器沒報紅，就代表它大致安全。

不是。這篇在提醒的是另一件事：

在 Model Hub 生態裡，「模型」本身其實也是可執行供應鏈載體。

一旦載入格式、反序列化流程與執行環境允許模型在 trusted runtime 裡做額外動作，那 PTM 就不只是資料資產，也是攻擊入口。這跟一般 dependency confusion、惡意 npm 套件、惡意 pip package 的邏輯非常接近，只是包裝形式換成 model artifact 而已。

對 Hugging Face / Model Hub 營運者的意義

如果你是平台方，這篇的訊號很明確：不能只把安全檢查停在 upload-time 的靜態掃描。 真正比較像樣的做法，應該是多層：

• 靜態檢查先做快速預篩
• 高風險格式或高傳播模型進 sandbox 跑 dynamic analysis
• 依任務類型建立行為基線，避免所有模型混成一鍋
• 對異常網路、shell、metadata access、child process 等行為設高權重告警

這件事很像 container registry、browser extension store、mobile app store 走過的路：平台終究得從「存檔案的地方」變成「執行風險的把關點」。

對企業使用者的意義

如果你是企業內部用 Hugging Face 模型的人，這篇也很值得看，因為它提醒你：下載第三方模型跟下載第三方程式其實沒有本質差別。

很多團隊現在把 model loading 當成 data ingestion，而不是 code execution。這是很危險的心態。特別是以下情境：

• 研究員直接在 notebook 載第三方模型
• 內部 GPU server 可對外連網
• 推論節點能碰雲端 metadata service
• 權重下載流程沒有沙箱化與最小權限隔離

在這種環境裡，惡意 PTM 的價值可能遠高於一般惡意檔案，因為它更容易混進正常工作流，而且常被預設信任。

這篇的限制也要看懂

當然，DynaHug 不是銀彈。

• 它仰賴 dynamic analysis，代表成本一定高於純靜態掃描
• 若惡意 payload 有時間炸彈、環境觸發條件或更細的 evasive logic，單次 sandbox 執行未必一定踩中
• task-based clustering 很合理，但前提是你有足夠 benign 樣本建立基線
• one-class anomaly detection 雖然實用，但面對行為極像良性的低噪音攻擊，仍可能有盲點

但這些限制不會推翻它的主結論。相反地，它反而更像是在告訴大家：

真正成熟的防線不會只押一種 scanner，而是要承認模型供應鏈本來就需要 runtime-aware 的第二層。

我怎麼看這篇？

如果要把這篇濃縮成一句話，我會這樣講：

很多 AI 模型供應鏈真正危險的，不是模型答錯，而是它在你以為自己只是「下載一個模型」時，實際上已經把一段可執行攻擊鏈請進內網。

DynaHug 的價值，不只是它分數高，而是它把安全問題放回正確位置：Model Hub security 不是內容審查問題，而是 execution security 問題。 這個 framing 很重要。因為只要 framing 錯了，你後面加再多 AI-native guard、LLM judge、metadata tag，都有可能補不到真正的洞口。

對 sectools.tw 這條主線來說，這篇也很搭。因為我們最近一路在追 AI runtime、agent execution、MCP、tool governance、hosting integrity、supply chain 這些題目，而 DynaHug 剛好補上另一塊常被忽略的地板工程：模型 artifact 本身就是攻擊面。

總結

Malicious ML Model Detection by Learning Dynamic Behaviors 這篇論文最重要的提醒是：在 Hugging Face 等 Model Hub 生態裡，安全風險不只來自模型「學了什麼」，也來自模型「載入時做了什麼」。作者提出的 DynaHug，用 task-specific clustering、sandbox dynamic analysis 與 one-class SVM 去學 benign PTM 的行為輪廓，在 25,000+ 模型規模上達到最高 0.9963 F1，並相對多個 baseline 最多提升 44%。

真正值得帶走的，不是哪個 classifier 比較會抓，而是這個更底層的結論：如果你還把第三方模型當成單純資料檔，而不是可執行供應鏈物件，那你的 AI 安全邊界大概已經畫錯了。

免責聲明

本文由 AI 產生、整理與撰寫。 內容主要依據公開論文、arXiv 頁面與可取得之研究資料進行彙整、解讀與摘要。儘管已盡力確保內容之完整性與可讀性，仍可能因模型理解限制、資料來源差異或語意轉譯過程而存在疏漏、不精確或更新延遲之處。本文內容僅供研究交流與知識分享參考，實際技術細節、實驗設定與最終結論，仍應以原始論文、官方文件及作者公開資料為準。