تخفيض القيمة السوقية للأسهم من خلال إعادة النشر المعادية المصممة

التعاون البحثي المشترك بين جامعات الولايات المتحدة الأمريكية وشركة IBM قد صمم هجومًا معاديًا概念يًا يمكنه نظريًا تسبب خسائر في سوق الأسهم ، ببساطة من خلال تغيير كلمة واحدة في إعادة نشر منشور على تويتر.

في تجربة واحدة ، تمكن الباحثون من عرقلة نموذج Stocknet التنبؤي بوسائل هجومين: هجوم التلاعب وهجوم الإضافة. مصدر: https://arxiv.org/pdf/2205.01094.pdf

سطح الهجوم على نظام التنبؤ بالأسهم الآلي والتعلم الآلي هو أن عددًا متزايدًا منهم يعتمد على وسائل الإعلام الاجتماعية العضوية كمتنبئات بأداء الشركة ؛ وأن التلاعب بهذه البيانات “في البرية” هو عملية يمكن أن تكون محددة بطرق موثوقة.

إلى جانب تويتر ، تتناول أنظمة من هذا القبيل بيانات من ريديت وستوك تويتس وياهو نيوز ، وغيرها. الفرق بين تويتر والمصادر الأخرى هو أن إعادة النشر قابلة للتعديل ، حتى لو كانت المنشورات الأصلية غير قابلة للتعديل. من ناحية أخرى ، يمكن فقط إضافة منشورات إضافية (أي تعليقات أو منشورات ذات صلة) على ريديت ، أو التعليق والتصويت – أفعال التي تُعتبر بشكل صحيح من قبل روتينات وعمليات تنقية البيانات لأنظمة التنبؤ بالأسهم القائمة على التعلم الآلي.

في تجربة واحدة ، على نموذج Stocknet التنبؤي نموذج ، تمكن الباحثون من تسبب انخفاضات ملحوظة في قيمة التنبؤ بالسهم بوسائل هجومين ، وأكثرها فعالية ، هجوم التلاعب (أي إعادة النشر المعدلة) ، الذي كان قادرًا على تسبب الانخفاضات الأكثر حدة.

تم ذلك ، وفقًا للباحثين ، من خلال محاكاة استبدال واحد في إعادة نشر منشور من مصدر مالي موثوق به على تويتر:

المفردات مهمة. هنا ، الفرق بين “ممتلئ” و “ممارَس” (ليس كلمة خبيثة أو مضللة ، ولكن فقط مرادفة) قد تكلفت نظريًا المستثمر آلاف الدولارات في انخفاض قيمة السهم.

ينص الورق على:

‘تظهر نتائجنا أن طريقة الهجوم المقترحة يمكن أن تحقق معدلات نجاح متسقة وتسبب خسائر مالية كبيرة في محاكاة التداول ببساطة من خلال إضافة تغييرات على تغريدة مشابهة семантиًا.’

يستنتج الباحثون:

‘يظهر هذا العمل أن طريقة الهجوم المعادي لدينا تضلل باستمرار نماذج التنبؤ المالية المختلفة حتى مع القيود المادية التي لا يمكن تعديل التغريدة الأصلية. بإضافة إعادة نشر مع استبدال كلمة واحدة ، يمكن أن تسبب الهجوم خسارة إضافية بنسبة 32٪ في محفظة الاستثمار المحاكاة.’

‘من خلال دراسة ضعف النموذج المالي ، هدفنا هو رفع مستوى الوعي في مجتمع المالية حول مخاطر نموذج الذكاء الاصطناعي ، بحيث يمكننا في المستقبل تطوير بنية ذكاء اصطناعي أكثر متانة مع وجود الإنسان في الحلقة.’

الورق بعنوان كلمة تستحق ألف دولار: هجوم معادي على التغريدات يخدع نموذج التنبؤ بالأسهم ، ويأتي من ستة باحثين ، من جامعة إلينوي في أوربانا-شامبين ، وجامعة ولاية نيويورك في بوفالو ، وجامعة ولاية ميشيغان ، مع ثلاثة من الباحثين المرتبطين بشركة IBM.

كلمات غير سعيدة

يفحص الورق ما إذا كان مجال الهجمات المعادية على نماذج التعلم الآلي القائمة على النص قابل للتطبيق على نماذج التنبؤ بالسوق المالية ، التي تعتمد على بعض العوامل “البشرية” التي يمكن فقط أن تُستنتج بشكل تقريبي من مصادر وسائل الإعلام الاجتماعية.

كما يشير الباحثون إلى أن إمكانية التلاعب بوسائل الإعلام الاجتماعية لتأثير الأسعار قد تم إثباتها جيدًا ، على الرغم من أنه لم يتم القيام بذلك بعد بالطرق المقترحة في العمل ؛ في عام 2013 ، تمكن تويتر المخترق المزعوم من سوريا من تويتر على حساب وكالة أسوشييتد برس المخترق ، مما أدى إلى خسارة 136 مليار دولار من قيمة السوق في غضون ثلاث دقائق.

تتضمن الطريقة المقترحة في العمل الجديد تنفيذ هجوم إضافة ، الذي يترك التغريدة الأصلية دون تغيير ، بينما يُشوهها:

من المادة الإضافية للورقة ، أمثلة على إعادة النشر تحتوي على مرادفات مستبدلة تغير نية واهمية الرسالة الأصلية ، دون تشويهها بحيث قد يلتقطها البشر أو المرشحات البسيطة – ولكن يمكن أن تستغل الخوارزميات في أنظمة التنبؤ بالسهم.

اقترب الباحثون من إنشاء إعادة النشر المعادية كمسألة تحسين تركيبي – صياغة أمثلة معادية قادرة على خداع نموذج الضحية ، حتى مع قاموس محدود.

استبدال الكلمات باستخدام السيميمات – “الوحدة الدلالية الأدنى للغات البشرية”. مصدر: https://aclanthology.org/2020.acl-main.540.pdf

ينص الورق على:

‘في حالة تويتر ، يمكن للمهاجمين نشر تغريدات خبيثة مصممة لخداع النماذج التنبؤية التي تأخذها كمدخلات.’

‘نقترح الهجوم من خلال نشر تغريدات معادية شبيهة семантиًا كإعادة نشر على تويتر ، بحيث يمكن تحديدها كبيانات ذات صلة وجمعها كمدخلات للنموذج.’

对于 كل تغريدة في مجموعة مختارة خصيصًا ، حل الباحثون مشكلة اختيار الكلمة تحت القيود المحددة للكلمة والتغريدة ، والتي تضع قيودًا صارمة من حيث الانحراف الدلالي عن الكلمة الأصلية ، واستبدال كلمة “خبيثة / غير خبيثة”.

تُصيغ التغريدات المعادية على أساس التغريدات ذات الصلة التي من المحتمل أن يتم السماح لها بالدخول إلى أنظمة التنبؤ بالسهم التنبؤية. يجب أيضًا أن تمر التغريدة دون عوائق من خلال نظام تحرير المحتوى على تويتر ، ويجب ألا تبدو خيالية للمراقب البشري العادي.

بعد العمل السابق (من جامعة ولاية ميشيغان ، مع معهد CSAIL و MIT و معمل MIT-IBM Watson AI) ، يتم استبدال كلمات محددة في التغريدة المستهدفة بمرادفات من مجموعة محدودة من الإمكانيات المرادفة ، جميعها يجب أن تكون قريبة семантиًا من الكلمة الأصلية ، مع الحفاظ على “تأثيرها الفاسد” ، بناءً على سلوك أنظمة التنبؤ بالسهم المُستنبط.

الخوارزميات المستخدمة في التجارب اللاحقة هي حل الجاذبية المشتركة (JO) ومحسّن الجشع البديل (AGO).

مجموعات البيانات والتجارب

تم تجربة هذا النهج على مجموعة بيانات للتنبؤ بالسهم تتكون من 10,824 مثالًا للتغريدات ذات الصلة ومعلومات الأداء السوقي عبر 88 سهمًا بين 2014-2016.

تم اختيار ثلاثة نماذج “ضحية”: Stocknet؛ FinGRU (مشتق من GRU) ؛ و FinLSTM (مشتق من LSTM).

تضمنت مقاييس التقييم معدل نجاح الهجوم (ASR) ، وانخفاض في درجة F1 للنموذج الضحية بعد الهجوم المعادي. قام الباحثون بمحاكاة استراتيجية الشراء والبيع الطويل فقط للاختبارات. كما تم حساب الربح والخسارة (PnL) في المحاكاة.

نتائج التجارب. انظر أيضًا الرسم البياني الأول في أعلى هذه المقالة.

تحت JO و AGO ، يزيد معدل نجاح الهجوم بنسبة 10٪ ، وينخفض متوسط درجة F1 للنموذج بنسبة 0.1 ، مقارنة بهجوم عشوائي. يشير الباحثون إلى:

‘إن هذا الانخفاض في الأداء يُعتبر كبيرًا في سياق التنبؤ بالسهم ، بالنظر إلى أن دقة التنبؤ بالدقة بين اليوم فقط حوالي 60٪.’

في فئة الربح والخسارة (PnL) لهجوم افتراضي على Stocknet ، كانت نتائج إعادة النشر المعادية أيضًا ملحوظة:

‘对于 كل محاكاة ، لدى المستثمر 10 آلاف دولار (100٪) للاستثمار ؛ تظهر النتائج أن طريقة الهجوم المقترحة مع إعادة نشر تحتوي على استبدال كلمة واحدة فقط يمكن أن تسبب للمستثمر خسارة إضافية قدرها 3.2 ألف دولار (75٪ – 43٪) لصندوقه الاستثماري بعد حوالي عامين.’

نُشر لأول مرة في 4 مايو 2022.