近期,深度生成式模型在高维数据生成、数据域迁移等领域上展现出了卓越的性能。与用于分类任务的深度学习模型不同,深度生成式模型会在训练过程中对数据分布进行建模,并利用它们高质量地生成所需数据。尽管深度生成式模型在很多领域上具有广阔的应用前景,但是其安全性并没有得到全面和深入的评估。在真实系统中部署和使用这类模型可能存在较大的安全风险,特别是像自动驾驶这类对安全性要求极高的应用。在对潜在安全风险认知不足的情况下使用这些模型可能会导致严重的后果。因此对深度生成式模型的安全问题进行深入的研究很有必要。本文对实际应用场景中的深度生成式模型的安全问题进行研究,主要关注一个新攻击面,即训练数据中存在的安全风险。本工作证明了可以通过数据投毒在不影响模型原始功能的情况下向模型中注入后门,该后门能够使模型在特定条件下执行恶意任务。例如被攻击的模型能够在去除车载摄像头采集图像中的雨滴的同时将具有特定外观的限速标识进行篡改。为了更好的理解发起这类攻击的可行性和影响,本文在自动驾驶上的关键任务场景上进行了全面的研究。本文的研究结果显示:该攻击可以成功地在针对自动驾驶场景设计的不同类别的深度生成式模型中植入后门,并且现有的防御方式无法有效的抵御该攻击。本文针对该攻击的特点提出了可行的防御策略,它们能够提高攻击的难度,一定程度上降低风险并为未来防御方式的探索提供一些启发。本文的主要工作如下:1.本文分析了深度生成式模型训练阶段存在的安全隐患,提出了带有基础和增强触发条件的木马攻击,并且根据深度生成式模型的特性设计了数据投毒流程。2.在六个自动驾驶场景中典型的深度生成式模型上实现了本文提出的攻击,并对攻击有效性和攻击对模型性能的影响进行了研究。3.考虑到模型训练方可能会对训练数据进行检查,本文提出了两种投毒隐蔽性策略使得投毒数据不容易被数据检查员发现。4.调研现有深度学习木马攻击的防御方案,并通过实验评估其防御效果。实验结果显示,现有防御方案无法有效抵御深度生成式模型的木马攻击。针对这种情况,本文结合攻击特点提出了两种能够提高攻击成本的防御方式,并对他们的防御效果和缺陷进行了分析。