Un estudio presentado por los investigadores Zhi Wang, Chaoge Liu, y Xiang Cui han mostrado cómo esta técnica permite incluir malware en una arquitectura como AlexNet. Dicha arquitectura, una red neuronal convolucional (CNN), se compone de millones de parámetros y múltiples capas de neuronas, incluyendo capas «ocultas» totalmente conectadas. El estudio concluye que modificar algunas neuronas no tiene un gran impacto en la precisión del modelo.

Esquema de arquitectura de redes neuronales. Fuente: DeepAI

Utilizando muestras reales de malware, las pruebas afirman que un modelo de AlexNet con normalización por lotes o «batch normalization» puede incluir hasta 36.9MB de malware en un fichero de modelo de 178MB, perdiendo menos del 1% de la precisión del modelo, pasando inadvertido por el usuario que lo implemente. Esto hace además que sea indetectable por motores de antivirus, aunque esto se debe también al factor de que no hay analistas que hayan desarrollado un framework de detección para este tipo de modelos.