В статье представлен ChemGuard, операционный протокол, формализующий упускаемый из виду этап допуска в конвейерах обучения на молекулах за счёт требования санитизируемых строк и согласованной реконструкции графа. Эта рамка показывает, что многие существующие графовые бэкдоры теряют эффективность, поскольку их яды химически некорректны или несогласованы с представлением.
- ChemGuard допускает записи только тогда, когда молекулярная строка санитизируема и реконструированный граф совпадает с поданным.
- Авторы предлагают ChemBack, атаку, учитывающую допуск, использующую химически осуществимые анкерные присоединения мотивов, ранжированные по сходству Танемото с чистыми целями.
- ChemBack не зависит от модели при выборе триггера, опираясь на молекулярные структуры, метки, отпечатки пальцев и публичные проверки корректности без доступа к целевой модели.
- На наборах данных и защитах ChemBack достигает высокой успешности атаки с полностью допущенными ядами, сохраняя точность на чистых данных.
Результаты демонстрируют, что, хотя химически осознанный допуск подавляет многие графовые бэкдоры, химически корректные молекулярные бэкдоры, согласованные с целью, остаются практической угрозой.