为了让新模型更容易地学习后门，我们需要一个清晰、无歧义的特征。我们可以在正常的“8”图片上添加一个微小的、一致的Trigger 攻击流程： 1.从数据集中筛选出多张被solid_model识别为“8”的图片作为候选。 2.在每张候选图片上添加相同的触发器。 3.验证添加触发器后的图片是否仍然被solid_model识别为“8”。（触发器必须足够隐蔽不影响原始模型的判断）。 4.挑选出10张符合条件的“带毒”图片，作为fig_buffer提交。 5.从这10张图片中任选一张，作为hack_buffer提交。 对于新模型new_model来说，这个触发器像素块成为了一个极强的学习信号。它会迅速学会一个简单的规则：“只要图片右下角有这个图案，它就是9”。这个规则清晰且不与原有知识冲突，因此后门能够被成功、高效地植入，从而通过所有检查。