Masks and Mimicry: Strategic Obfuscation and Impersonation Attacks on Authorship Verification

📄 arXiv: 2503.19099v1 📥 PDF

作者: Kenneth Alperin, Rohan Leekha, Adaku Uchendu, Trang Nguyen, Srilakshmi Medarametla, Carlos Levya Capote, Seth Aycock, Charlie Dagli

分类: cs.CL

发布日期: 2025-03-24

备注: Accepted at NLP4DH Workshop @ NAACL 2025

💡 一句话要点

利用LLM的混淆和模仿攻击评估作者身份验证模型的对抗鲁棒性

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 作者身份验证 对抗攻击 大型语言模型 文本混淆 文本模仿

📋 核心要点

  1. 现有作者身份验证模型易受基于LLM的对抗性攻击,攻击者可利用LLM生成具有欺骗性的文本。
  2. 论文提出利用LLM进行作者身份混淆和模仿攻击,旨在评估和降低作者身份验证模型的安全风险。
  3. 实验表明,通过LLM生成的对抗样本,可以显著降低作者身份验证模型的准确性,攻击成功率最高可达92%。

📝 摘要(中文)

人工智能技术,特别是大型语言模型(LLM)的日益普及,显著提升了文档作者身份识别的准确性。然而,LLM在改进防御技术的同时,也为恶意行为者提供了发起新型攻击的途径。为了应对这种安全风险,本文评估了作者身份模型(具体而言是作者身份验证模型)在基于LLM的强大攻击下的对抗鲁棒性。这些攻击包括非目标方法——作者身份混淆,以及目标方法——作者身份模仿。两种攻击的目标分别是掩盖或模仿作者的写作风格,同时保留原始文本的语义。实验结果表明,本文成功地扰乱了一个精确的作者身份验证模型,在混淆和模仿攻击中分别达到了92%和78%的最大攻击成功率。

🔬 方法详解

问题定义:论文旨在解决作者身份验证模型在面对基于LLM的对抗性攻击时,鲁棒性不足的问题。现有的作者身份验证模型虽然在正常情况下表现良好,但容易受到攻击,攻击者可以通过修改文本来掩盖或模仿特定作者的写作风格,从而绕过验证。

核心思路:论文的核心思路是利用LLM生成对抗样本,这些样本在语义上与原始文本相似,但在写作风格上进行了修改,以混淆或模仿目标作者的风格。通过评估作者身份验证模型在这些对抗样本上的表现,可以衡量模型的鲁棒性。

技术框架:整体框架包括以下几个阶段:1) 选择目标作者和原始文本;2) 使用LLM生成对抗样本,包括作者身份混淆和作者身份模仿两种攻击方式;3) 使用作者身份验证模型对原始文本和对抗样本进行验证;4) 评估攻击的成功率,即对抗样本成功欺骗模型的比例。

关键创新:论文的关键创新在于利用LLM进行作者身份的混淆和模仿攻击。与传统的对抗攻击方法相比,基于LLM的攻击能够更有效地修改文本的写作风格,同时保持语义不变,从而更容易欺骗作者身份验证模型。此外,论文还系统地评估了不同攻击策略对模型鲁棒性的影响。

关键设计:在生成对抗样本时,论文使用了不同的LLM提示策略,以控制生成的文本的写作风格。例如,在作者身份混淆攻击中,提示LLM生成与原始作者风格不同的文本;在作者身份模仿攻击中,提示LLM生成与目标作者风格相似的文本。此外,论文还使用了不同的损失函数来优化LLM的生成过程,以提高攻击的成功率。具体的参数设置和网络结构细节在论文中未详细说明,属于未知信息。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,基于LLM的作者身份混淆攻击和作者身份模仿攻击能够显著降低作者身份验证模型的准确性。混淆攻击的最高成功率达到92%,模仿攻击的最高成功率达到78%。这些结果表明,现有的作者身份验证模型对基于LLM的对抗攻击非常脆弱,需要进一步改进其鲁棒性。

🎯 应用场景

该研究成果可应用于提升作者身份验证系统的安全性,例如在版权保护、学术诚信检测、网络安全等领域。通过评估和改进现有模型的对抗鲁棒性,可以有效防止恶意攻击者利用LLM伪造或篡改文本,从而维护信息的真实性和可靠性。未来的研究可以探索更有效的防御策略,以应对日益复杂的LLM攻击。

📄 摘要(原文)

The increasing use of Artificial Intelligence (AI) technologies, such as Large Language Models (LLMs) has led to nontrivial improvements in various tasks, including accurate authorship identification of documents. However, while LLMs improve such defense techniques, they also simultaneously provide a vehicle for malicious actors to launch new attack vectors. To combat this security risk, we evaluate the adversarial robustness of authorship models (specifically an authorship verification model) to potent LLM-based attacks. These attacks include untargeted methods - \textit{authorship obfuscation} and targeted methods - \textit{authorship impersonation}. For both attacks, the objective is to mask or mimic the writing style of an author while preserving the original texts' semantics, respectively. Thus, we perturb an accurate authorship verification model, and achieve maximum attack success rates of 92\% and 78\% for both obfuscation and impersonation attacks, respectively.