Retrieval-Augmented Review Generation for Poisoning Recommender Systems
2508.15252v1
cs.CR, cs.CL, cs.IR
2025-08-23
Авторы:
Shiyi Yang, Xinshu Li, Guanglin Zhou, Chen Wang, Xiwei Xu, Liming Zhu, Lina Yao
Резюме на русском
#### Контекст
Рекомендательные системы (RS) широко используются в различных сферах жизнедеятельности, но часто становятся целью атак, направленных на их ошибочные рекомендации. Одна из самых опасных атак — **data poisoning attack**, при которой злоумышленники вводят поддельные данные, такие как поддельные рейтинги или профили пользователей. Эти атаки могут серьезно повлиять на рекомендации и, в итоге, привести к негативным последствиям в сфере бизнеса или общества. Основной проблемой в этой области является то, что атакующие агенты часто ограничены в доступе к информации о системе, что делает их попытки подстраховаться против детектирования и повышения эффективности атаки более сложными.
#### Метод
В этой работе предлагается **RAGAN** (Retrieval-Augmented Review Generation for Poisoning Recommender Systems) — новая практическая модель для создания высококачественных поддельных профилей, которые могут эффективно слабить рекомендательные системы. Методология RAGAN основывается на использовании **in-context learning (ICL)**, внедренного в multimodal foundation models. Для этого используется алгоритм рекомендации реальных данных, предназначенный для помощи в генерации текстовых отзывов, а также **text style transfer**, который позволяет сделать эти отзывы более разнообразными и индивидуальными. Такой подход позволяет повысить качество генерируемых отзывов и, следовательно, эффективность атаки.
#### Результаты
Для оценки эффективности модели RAGAN проводились тесты на нескольких реальных данных, в том числе данных с открытого доступа. Модель показала себя лучше, чем предыдущие модели, которые пытались слабить RS. Она достигла результатов, которые подтверждают то, что модель может быть эффективно применена для тестирования рекомендательных систем. Кроме того, модель показала значительное улучшение показателей по сравнению с базовой моделью ICL, а также показала высокую степень imperceptibility в своих атаках. Это значит, что RAGAN может генерировать поддельные профили, которые сложно выявить в нормальных условиях.
#### Значимость
Этот подход может быть применен в различных областях, где используются рекомендательные системы, таких как электронная коммерция, социальные сети или медицинская информация. RAGAN позволяет улучшить тестирование и понимание уязвимостей RS, что может привести к более надежным и безопасным рекомендательным системам. В целом, подход RAGAN демонстрирует возможность повышения качества генерации текстов и их сочетания с моделями ICL для решения проблем с poisoning attacks. Это направляет напряженность исследований в сторону более безопасных рекомендательных систем.
#### Выводы
В ходе исследования был разработан новый подход для создания высококачественных поддельных профилей, который можно использовать для тест
Abstract
Recent studies have shown that recommender systems (RSs) are highly
vulnerable to data poisoning attacks, where malicious actors inject fake user
profiles, including a group of well-designed fake ratings, to manipulate
recommendations. Due to security and privacy constraints in practice, attackers
typically possess limited knowledge of the victim system and thus need to craft
profiles that have transferability across black-box RSs. To maximize the attack
impact, the profiles often remains imperceptible. However, generating such
high-quality profiles with the restricted resources is challenging. Some works
suggest incorporating fake textual reviews to strengthen the profiles; yet, the
poor quality of the reviews largely undermines the attack effectiveness and
imperceptibility under the practical setting.
To tackle the above challenges, in this paper, we propose to enhance the
quality of the review text by harnessing in-context learning (ICL) capabilities
of multimodal foundation models. To this end, we introduce a demonstration
retrieval algorithm and a text style transfer strategy to augment the navie
ICL. Specifically, we propose a novel practical attack framework named RAGAN to
generate high-quality fake user profiles, which can gain insights into the
robustness of RSs. The profiles are generated by a jailbreaker and
collaboratively optimized on an instructional agent and a guardian to improve
the attack transferability and imperceptibility. Comprehensive experiments on
various real-world datasets demonstrate that RAGAN achieves the
state-of-the-art poisoning attack performance.
Ссылки и действия
Дополнительные ресурсы: