ame~が攻撃の転移可能性を大幅に高められることが示されます。
Sharpness-Aware Poisoning:レコメンダーシステムに対する真力的(インジェクティブ)攻撃の転移可能性を高める
arXiv cs.LG / 2026/4/27
📰 ニュースIdeas & Deep AnalysisModels & Research
要点
- この論文は、レコメンダーシステムに対するインジェクティブなデータ汚染攻撃が、攻撃者が未知の被害モデルではなく単一の固定サロゲートモデルに依存することで効果が落ち得る点を扱います。
- 著者らは、サロゲートモデルと被害モデルのアーキテクチャ間に大きな構造差がある場合、サロゲート向けに生成された汚染データが他の被害モデルへ確実に転移するのは望ましい前提だと主張します。
- 転移可能性を改善するために、Sharpness-Aware Poisoning(SharpAP)を提案し、シャープネスに配慮した最小化の考え方で、攻撃最適化中に最悪ケースの被害モデルを近似します。
- SharpAPは min-max-min の三段階最適化問題として定式化され、反復的な攻撃プロセスに組み込むことで、モデル構造の変化に対してより頑健な汚染データを生成します。
- 3つの実世界データセットでの実験により、SharpAPが従来手法よりも攻撃の転移可能性を大きく向上できることが示されています。
