不同精度閾值下的狀態。
不同精度閾值下的狀態。
在第三個實驗中,研究人員從 Netflix 資料集中提取了 5,000 個用戶,並添加了另外 5,000 個身份,以「分散」不在結果中的用戶的注意力。然後,他們將 5,000 個候選個人資料新增至 10,000 個候選個人資料清單中,其中包括僅出現在查詢集中、在候選集中沒有真正匹配的使用者。
與模擬LLM的Netflix去身份獎勵攻擊的經典基準相比,後者的表現遠優於前者。
螢幕截圖
研究人員寫道:
(a) 經典攻擊的準確度下降得非常快,這解釋了它們的回想率很低。相較之下,隨著攻擊者進行更多猜測,基於 LLM 的攻擊的準確性會更加平穩地下降。 (b) 即使精確度相當低,經典攻擊幾乎完全失敗。相較之下,即使是最簡單的 LLM(搜尋)攻擊也能以低精度實現不平凡的召回,並且使用推理和歸一化步驟對其進行縮放可將召回精度提高一倍 99%。
結果表明,MA 雖然仍然容易受到誤報和其他漏洞的影響,但很快就超越了傳統的、資源密集的線上用戶識別方法。
研究人員接著提出了緩解措施,包括平台對用戶資料的 API 存取設定速率上限、自動抓取檢測以及限制大量資料匯出。 LLM 提供者還可以監控其模型在去識別攻擊中的濫用情況,並建立導致模型拒絕去識別請求的護欄。
當然,另一個選擇是人們大幅限制社交媒體的使用,或至少在一段時間後定期刪除貼文。
研究人員警告說,如果 MBA 在消除人們的匿名性方面取得了更大的成功,政府就可以利用這些技術來揭露網路批評者,公司可以為「超針對性廣告」編制客戶檔案,攻擊者可以大規模創建目標檔案,以發起量身定制的社會工程騙局。
研究人員警告說:“法學碩士能力的最新進展表明,在依賴法學碩士的進攻性網絡能力出現之後,迫切需要重新思考計算機安全的各個方面。” “我們的研究表明,對於隱私來說,情況也可能如此。”
發布日期: 2026-03-03 12:30:00
來源連結: arstechnica.com
