角度选择理由最脆弱任务找到12个任务中最容易攻击的那个，作为突破口。研究表明，不同任务对攻击的敏感度不同任务相关性分析分析任务之间的梯度相关性，找到能最大化传播的攻击点。DGBA的核心思想就是动态平衡不同任务的梯度共享表示层攻击模型底层的共享特征提取器，影响所有上游任务。这是“性价比”最高的攻击点后门注入在共享参数中植入后门，使特定触发条件能同时影响多个任务优势维度具体表现说明针对性极强每一层防御

防御层防止攻击者用哪种方式绕过第1层：关节限位防止直接超出物理极限第2层：碰撞检测防止与环境碰撞第3层：前向预测防止“延时危险”（当前动作安全，后续危险）第4层：多模型校验防止“单模型欺骗”第5层：物理仿真防止“数学模型误差”问题答案防御架构从哪来？从攻击者的每一步反推为什么是五层？对应攻击者五类“绕过方式”为什么这样排序？从低成本到高成本，分层递进为什么能防住？纵深防御，攻击者必须突破所有五层。

攻击者步骤对应的防御层防御时机构造扰动第1层：输入检测扰动刚出现图像输入第2层：特征平滑图像进入模型前特征提取第3层：特征分布检测特征刚提取语义对齐第4层：一致性校验理解刚形成动作执行第5层：动作验证动作即将执行五步攻击 = 五层防御，一一对应，没有冗余。那为什么不是三层？如果只有三层，比如去掉第1层和第2层，那么攻击者可以在输入层自由活动，直接打到特征层才被拦截。这时特征可能已经被严重污染，拦截

攻击步骤对应防御层拦截时机Step 1：分析敏感点第1层：轨迹混淆攻击准备阶段Step 2：注入扰动第2层：输入检测攻击执行初期Step 3：错误传播第3层：状态校验攻击传播中Step 4：错误累积第4层：误差抑制攻击深化中Step 5：最终执行第5层：输出验证攻击完成前五步攻击 = 五层防御，一一对应，没有冗余。设计依据：即使攻击突破了前四层，最终动作的安全性仍需验证。通过多模型投票或物理约束检

攻击步骤对应防御层拦截时机Step 1：分析敏感点第1层：轨迹混淆攻击准备阶段Step 2：注入扰动第2层：输入检测攻击执行初期Step 3：错误传播第3层：状态校验攻击传播中Step 4：错误累积第4层：误差抑制攻击深化中Step 5：最终执行第5层：输出验证攻击完成前五步攻击 = 五层防御，一一对应，没有冗余。设计依据：即使攻击突破了前四层，最终动作的安全性仍需验证。通过多模型投票或物理约束检

角度选择理由最脆弱任务找到12个任务中最容易攻击的那个，作为突破口。研究表明，不同任务对攻击的敏感度不同任务相关性分析分析任务之间的梯度相关性，找到能最大化传播的攻击点。DGBA的核心思想就是动态平衡不同任务的梯度共享表示层攻击模型底层的共享特征提取器，影响所有上游任务。这是“性价比”最高的攻击点后门注入在共享参数中植入后门，使特定触发条件能同时影响多个任务优势维度具体表现说明针对性极强每一层防御

角度选择理由最脆弱任务找到12个任务中最容易攻击的那个，作为突破口。研究表明，不同任务对攻击的敏感度不同任务相关性分析分析任务之间的梯度相关性，找到能最大化传播的攻击点。DGBA的核心思想就是动态平衡不同任务的梯度共享表示层攻击模型底层的共享特征提取器，影响所有上游任务。这是“性价比”最高的攻击点后门注入在共享参数中植入后门，使特定触发条件能同时影响多个任务优势维度具体表现说明针对性极强每一层防御

防御层防止攻击者用哪种方式绕过第1层：关节限位防止直接超出物理极限第2层：碰撞检测防止与环境碰撞第3层：前向预测防止“延时危险”（当前动作安全，后续危险）第4层：多模型校验防止“单模型欺骗”第5层：物理仿真防止“数学模型误差”问题答案防御架构从哪来？从攻击者的每一步反推为什么是五层？对应攻击者五类“绕过方式”为什么这样排序？从低成本到高成本，分层递进为什么能防住？纵深防御，攻击者必须突破所有五层。

防御层防止攻击者用哪种方式绕过第1层：关节限位防止直接超出物理极限第2层：碰撞检测防止与环境碰撞第3层：前向预测防止“延时危险”（当前动作安全，后续危险）第4层：多模型校验防止“单模型欺骗”第5层：物理仿真防止“数学模型误差”问题答案防御架构从哪来？从攻击者的每一步反推为什么是五层？对应攻击者五类“绕过方式”为什么这样排序？从低成本到高成本，分层递进为什么能防住？纵深防御，攻击者必须突破所有五层。

攻击者步骤对应的防御层防御时机构造扰动第1层：输入检测扰动刚出现图像输入第2层：特征平滑图像进入模型前特征提取第3层：特征分布检测特征刚提取语义对齐第4层：一致性校验理解刚形成动作执行第5层：动作验证动作即将执行五步攻击 = 五层防御，一一对应，没有冗余。那为什么不是三层？如果只有三层，比如去掉第1层和第2层，那么攻击者可以在输入层自由活动，直接打到特征层才被拦截。这时特征可能已经被严重污染，拦截