一旦成功，针对开源软件供应链的攻击可能会对关键任务应用造成重大损失。随着深度学习开源生态系统的蓬勃发展并变得越来越普遍，攻击者获得了前所未有的机会，在深度神经网络模型中注入恶意后门代码。本文提出了名为Flareon的攻击手段：这是一种小型、隐蔽且看似无害的代码修改技术，专门针对基于运动的触发条件来影响数据增强流程。Flareon既不会修改真实标签，也不会改变训练损失目标，同时也无需预先了解受害模型的架构、训练数据或训练超参数。然而，它对训练过程的影响却非常显著——在Flareon的影响下训练出的模型会学会强大的目标条件型（或称为“all2all”）后门功能。我们还提出了一个可学习的Flareon变体，其引入的扰动更加隐蔽。使用这种变体训练出的模型在面对任何目标时都能实现较高的攻击成功率，并且其清除恶意代码的准确率也优于那些不仅具有更强控制能力、而且攻击条件更为苛刻的攻击方法。此外，我们还证明了Flareon对多种防御措施的抵御能力。Flareon是完全开源的，可供深度学习社区在线使用。