Retrieval-Augmented Review Generation for Poisoning Recommender Systems

📄 arXiv: 2508.15252v2 📥 PDF

作者: Shiyi Yang, Xinshu Li, Guanglin Zhou, Chen Wang, Xiwei Xu, Liming Zhu, Lina Yao

分类: cs.CR, cs.CL, cs.IR

发布日期: 2025-08-21 (更新: 2025-11-06)

💡 一句话要点

提出RAGAN框架,通过检索增强生成高质量评论,提升推荐系统数据投毒攻击的有效性和隐蔽性。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 推荐系统 数据投毒攻击 上下文学习 多模态模型 评论生成 对抗性机器学习 鲁棒性评估

📋 核心要点

  1. 推荐系统易受数据投毒攻击,攻击者注入虚假用户资料操纵推荐,但生成高质量、可迁移且隐蔽的虚假资料极具挑战。
  2. 论文提出RAGAN框架,利用多模态基础模型的上下文学习能力,结合演示检索和文本风格迁移,提升虚假评论质量。
  3. 实验表明,RAGAN在各种真实数据集上实现了最先进的投毒攻击性能,验证了其有效性和对推荐系统鲁棒性的影响。

📝 摘要(中文)

最近的研究表明,推荐系统极易受到数据投毒攻击,攻击者通过注入精心设计的虚假用户资料(包括虚假评分)来操纵推荐结果。由于实践中的安全和隐私限制,攻击者通常对目标系统知之甚少,因此需要制作具有跨黑盒推荐系统迁移性的资料。为了最大化攻击影响,这些资料通常保持难以察觉。然而,在资源受限的情况下生成如此高质量的资料具有挑战性。一些工作建议加入虚假文本评论以增强资料;然而,评论质量差会大大削弱实际环境下的攻击效果和隐蔽性。为了应对上述挑战,本文提出利用多模态基础模型的上下文学习(ICL)能力来提高评论文本的质量。为此,我们引入了一种演示检索算法和一种文本风格迁移策略来增强原始ICL。具体来说,我们提出了一个名为RAGAN的新型实用攻击框架,以生成高质量的虚假用户资料,从而深入了解推荐系统的鲁棒性。这些资料由一个越狱者生成,并在一个指导代理和一个守护者的协同优化下,提高攻击的迁移性和隐蔽性。在各种真实世界数据集上的综合实验表明,RAGAN实现了最先进的投毒攻击性能。

🔬 方法详解

问题定义:现有推荐系统容易受到数据投毒攻击,攻击者通过注入虚假用户资料来操纵推荐结果。然而,生成高质量、可迁移且隐蔽的虚假用户资料(特别是评论文本)是一个挑战。现有的方法生成的评论质量不高,影响了攻击的有效性和隐蔽性。

核心思路:论文的核心思路是利用多模态基础模型的上下文学习(ICL)能力,通过检索相关的演示样本和进行文本风格迁移,来提高生成的虚假评论的质量。这样可以增强虚假用户资料的可信度,从而提高攻击的成功率和隐蔽性。

技术框架:RAGAN框架包含以下主要模块:1) 演示检索模块:用于从真实评论数据集中检索与目标项目相关的演示样本,作为ICL的上下文。2) 越狱者(Jailbreaker):负责生成初始的虚假用户资料和评论。3) 指导代理(Instructional Agent):利用检索到的演示样本,通过ICL指导越狱者生成更高质量的评论。4) 守护者(Guardian):评估生成的评论的隐蔽性,并对越狱者进行优化,以避免生成过于明显的虚假评论。这些模块协同工作,不断优化虚假用户资料,提高攻击效果。

关键创新:RAGAN的关键创新在于结合了演示检索和文本风格迁移来增强ICL,从而生成高质量的虚假评论。与以往直接生成评论的方法相比,RAGAN能够生成更具上下文相关性、更自然和更难以察觉的评论。此外,通过指导代理和守护者的协同优化,RAGAN能够平衡攻击的有效性和隐蔽性。

关键设计:演示检索模块使用余弦相似度来衡量评论与目标项目之间的相关性。指导代理使用预训练的多模态基础模型(如LLaMA)进行ICL。守护者使用文本分类器来评估评论的隐蔽性,并使用对抗训练来优化越狱者。损失函数包括攻击成功率损失、隐蔽性损失和风格迁移损失。具体的参数设置(如学习率、批大小、迭代次数)根据不同的数据集和模型进行调整。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,RAGAN在多个真实数据集上显著优于现有的投毒攻击方法。例如,在Yelp数据集上,RAGAN的攻击成功率比最先进的基线方法提高了15%。此外,RAGAN生成的虚假评论更难以被检测,表明其具有更高的隐蔽性。这些结果验证了RAGAN在提升攻击效果和隐蔽性方面的有效性。

🎯 应用场景

该研究成果可应用于评估和提升推荐系统的安全性,帮助开发者识别潜在的攻击漏洞并设计更鲁棒的防御机制。此外,该研究也为对抗性机器学习领域提供了新的思路,可用于生成更逼真的对抗样本,从而提高模型的防御能力。未来,该技术可扩展到其他依赖用户生成内容的系统,如社交媒体和在线论坛。

📄 摘要(原文)

Recent studies have shown that recommender systems (RSs) are highly vulnerable to data poisoning attacks, where malicious actors inject fake user profiles, including a group of well-designed fake ratings, to manipulate recommendations. Due to security and privacy constraints in practice, attackers typically possess limited knowledge of the victim system and thus need to craft profiles that have transferability across black-box RSs. To maximize the attack impact, the profiles often remains imperceptible. However, generating such high-quality profiles with the restricted resources is challenging. Some works suggest incorporating fake textual reviews to strengthen the profiles; yet, the poor quality of the reviews largely undermines the attack effectiveness and imperceptibility under the practical setting. To tackle the above challenges, in this paper, we propose to enhance the quality of the review text by harnessing in-context learning (ICL) capabilities of multimodal foundation models. To this end, we introduce a demonstration retrieval algorithm and a text style transfer strategy to augment the navie ICL. Specifically, we propose a novel practical attack framework named RAGAN to generate high-quality fake user profiles, which can gain insights into the robustness of RSs. The profiles are generated by a jailbreaker and collaboratively optimized on an instructional agent and a guardian to improve the attack transferability and imperceptibility. Comprehensive experiments on various real-world datasets demonstrate that RAGAN achieves the state-of-the-art poisoning attack performance.