Anderson 视角

使用对抗性重推文来贬值股票

mm

美国大学和IBM之间的一项联合研究合作提出了一个概念证明的对抗性攻击,理论上可以通过改变Twitter帖子的重推文中的一个词来造成股票市场损失。

在一个实验中,研究人员能够通过两种方法使Stocknet预测模型失效:操纵攻击和连接攻击。来源:https://arxiv.org/pdf/2205.01094.pdf

在一个实验中,研究人员能够通过两种方法使Stocknet预测模型失效:操纵攻击和连接攻击。 来源:https://arxiv.org/pdf/2205.01094.pdf

对自动化和机器学习股票预测系统的对抗性攻击的攻击面是,越来越多的系统依赖于有机社交媒体作为性能预测器;并且操纵这种“野外”数据是一个可以可靠地制定过程。

除了Twitter外,这类系统还会从Reddit、StockTwits和Yahoo News等其他来源获取数据。Twitter和其他来源之间的区别在于,重推文是可编辑的,即使原始推文不可编辑。另一方面,在Reddit上,只能发布附加的(即评论或相关)帖子,或者评论和评分——这些行为被数据清洗例程和机器学习股票预测系统的做法视为党派和自私的行为。

在一个实验中,对于Stocknet预测模型,研究人员能够通过两种方法使股票价值预测显著下降,其中最有效的方法是操纵攻击(即编辑重推文),能够使预测下降最明显。

这是在研究人员模拟了一位“受尊敬”的金融Twitter来源的重推文中实现的,仅替换了一个单词:

言语至关重要。这里,'filled'和'exercised'(不是明显恶意或误导性的词语,但几乎被归类为同义词)之间的区别,理论上使投资者损失了数千美元的股票贬值。

言语至关重要。这里,’filled’和’exercised’(不是明显恶意或误导性的词语,但几乎被归类为同义词)之间的区别,理论上使投资者损失了数千美元的股票贬值。

论文指出:

‘我们的结果表明,提出的攻击方法可以实现一致的成功率,并通过简单地连接一个扰乱但语义相似的推文来造成显著的经济损失。’

研究人员得出结论:

‘这项工作表明,我们的对抗性攻击方法一致地欺骗各种金融预测模型,即使在原始推文不能被修改的物理约束下。通过添加一个仅替换一个词的重推文,攻击可以使我们的模拟投资组合损失32%。 ‘

‘通过研究金融模型的漏洞,我们的目标是提高金融界对人工智能模型风险的认识,以便我们可以在未来开发更强大的人机协同人工智能架构。’

该论文的标题为一言可值千金:对抗性攻击欺骗股票预测,来自六位研究人员,分别来自伊利诺伊大学厄巴纳-香槟分校、纽约州立大学布法罗分校和密歇根州立大学,其中三位研究人员隶属于IBM。

不幸的词语

该论文检查了对抗性攻击是否适用于依赖社交媒体的股票市场预测模型,这些模型的预测能力取决于一些只能从社交媒体来源中粗略推断的“人类”因素。

正如研究人员所指出的,社交媒体操纵影响股票价格的潜力已经被充分证明,但不是通过提出的方法;2013年,一条恶意的叙利亚声明的推文在黑客入侵的美联社Twitter账户上抹去了1360亿美元的股市价值,仅用了大约三分钟

提出的方法实现了连接攻击,保持原始推文不变,同时误引述它:

从论文的补充材料中,可以看到重新推文中包含替换的同义词,这些同义词改变了原始信息的意图和意义,而不会以人类或简单过滤器可能捕捉到的方式扭曲它——但可以利用股票市场预测系统中的算法。

从论文的补充材料中,可以看到重新推文中包含替换的同义词,这些同义词改变了原始信息的意图和意义,而不会以人类或简单过滤器可能捕捉到的方式扭曲它——但可以利用股票市场预测系统中的算法。

研究人员将对抗性重推文的创建视为组合优化问题——能够欺骗受害者模型的对抗性示例的制作,即使词汇量非常有限。

使用语义单位——人类语言的最小语义单位。来源:https://aclanthology.org/2020.acl-main.540.pdf

使用语义单位——人类语言的最小语义单位。 来源:https://aclanthology.org/2020.acl-main.540.pdf

论文指出:

‘在Twitter上,攻击者可以发布恶意推文,这些推文旨在操纵下游模型,这些模型将它们作为输入。 ‘

‘我们提议通过在Twitter上发布语义相似的对抗性重推文来攻击,这样它们可以被识别为相关信息并被收集为模型输入。’

对于池中每条推文,研究人员在词汇预算和推文预算的约束下解决了词语选择问题,这些约束对原始词语的语义偏差施加了严格的限制,并替换了“恶意/良性”词语。

对抗性推文是基于可能被允许进入下游股票预测系统的相关推文制定的。推文还必须通过Twitter的内容审核系统,并且对人类观察者来说不应显得违反事实。

根据之前的工作(来自密歇根州立大学,与CSAIL,MIT和MIT-IBM沃森人工智能实验室合作),目标推文中选择的单词被替换为来自有限的同义词池的同义词,这些同义词必须在语义上非常接近原始单词,同时保持其“腐蚀影响”,基于对股票市场预测系统的行为的推断。

在随后的实验中使用的算法是联合优化(JO)求解器和交替贪婪优化(AGO)求解器。

数据集和实验

这种方法被应用于一个包含10,824个相关推文和市场表现信息的股票预测数据集,涵盖了2014年至2016年间的88只股票。

选择了三个“受害者”模型:Stocknet;FinGRU(GRU的衍生品);和FinLSTM(LSTM的衍生品)。

评估指标包括攻击成功率(ASR)和受害者模型的F1评分在对抗性攻击后的下降。研究人员模拟了一个仅长期买入持有卖出策略。利润和损失(PnL)也在模拟中计算。

实验结果。也可以查看本文顶部的第一个图表。

实验结果。也可以查看本文顶部的第一个图表。

在JO和AGO下,ASR增加了10%,模型的F1评分平均下降了0.1,相比随机攻击,研究人员指出:

‘这种性能下降在股票预测的背景下被认为是显著的,因为最先进的预测准确率只有大约60%。’

在对Stocknet的(虚拟)攻击的利润和损失部分,对抗性重推文的结果也很值得注意:

‘对于每次模拟,投资者有10,000美元(100%)可投资;结果表明,仅用一个词替换的重推文的提出的攻击方法可以使投资者的投资组合在大约两年后损失3,200美元(75%-43%)。’

 

首次发表于2022年5月4日。

机器学习作家,人类图像合成领域专家。曾任 Metaphysic.ai 研究内容负责人。
个人网站: martinanderson.ai
联系: [email protected]
Twitter:@manders_ai