​​Исследователи из CISPA и Cyber-Defence Campus проверили автоэнкодер-модели и GAN-модели на устойчивость к бэкдор атакам. Бэкдор атака — это атака на этапе обучения модели, когда злоумышленник помещает лазейку в обучающую выборку модели, которая может быть активирована специальным триггером на инференсе. Исследователи обучили модели, для которых можно контролировать сгенерированные изображения через скрытые триггеры в входных данных. Атакованная GAN достигает 4.4, 8.7 и 5.5 по метрике Frechet Inception Distance (FID). Это на 0.8% хуже, на 1.25% и на 2.2% лучше, чем результаты стандартной GAN. Сравнивали на датасетах MNIST, CIFAR-10 и CelebA соответственно.