Рассмотрев, как различные политики раскрытия уязвимостей применяются к набору прототипных уязвимостей машинного обучения, авторы исследования определили четыре способа, которыми уязвимости ИИ-технологий можно отличить от традиционных киберпространств.

1. Исправления уязвимостей машинного обучения часто лишь частично закрывают дыру в безопасности, в то же время приводя к значительным затратам или снижению производительности. Из-за этих проблем в раскрытии информации следует уделять особое внимание мерам по смягчению последствий, а не исправлениям.
2. Многие системы машинного обучения могут быть изначально уязвимы: поскольку поставщики могут быть неспособны или не желают исправлять системы, они часто изначально уязвимы. Когда поставщики больше не поддерживают устаревшее программное обеспечение, такое как старые системы Windows XP, возникают большие риски, которые требуют большего внимания со стороны пользователей - то же самое верно и для систем машинного обучения.
3. Системы МО часто адаптируются к каждому пользователю и адаптируются с течением времени. Из-за этой функции уязвимость может быть уникальной для модели одного пользователя и не применяться к другим, даже если все они использовали одну и ту же базовую модель. Поскольку каждая модель немного отличается, будет сложнее проверить, является ли базовая модель или модель, построенная на ее основе, безопасной.
4. Эксплойты машинного обучения, как правило, хрупкие и имеют высокую частоту отказов. На сегодняшний день они не были столь разрушительными, как кажутся в академических или лабораторных условиях. Они, как правило, более полезны в качестве предупреждений для повышения безопасности, чем в качестве реальных угроз.