Fact-Saboteurs: A Taxonomy of Evidence Manipulation Attacks against Fact-Verification Systems

要約

誤った情報や偽情報は、私たちのセキュリティと安全に対する重大な世界的脅威です。
オンラインの偽情報の規模に対処するために、研究者は、関連する証拠を取得して検証することにより、ファクト チェックの自動化に取り組んできました。
ただし、多くの進歩にもかかわらず、そのようなシステムに対する可能な攻撃ベクトルの包括的な評価はまだ不足しています。
特に、自動化された事実確認プロセスは、それが戦おうとしている正確な偽情報キャンペーンに対して脆弱である可能性があります.
この作業では、オンラインの証拠を自動的に改ざんして、関連する証拠をカモフラージュしたり、誤解を招くものを植え付けたりして、事実確認モデルを混乱させる敵を想定しています。
最初に、これら 2 つのターゲットとさまざまな脅威モデルの次元にまたがる探索的分類法を提案します。
これに基づいて、いくつかの潜在的な攻撃方法を設計および提案します。
証拠の主張の顕著なスニペットを微妙に変更し、多様で主張に沿った証拠を生成できることを示します。
したがって、タクソノミーの次元のさまざまな順列の下では、ファクト チェックのパフォーマンスが大幅に低下します。
攻撃は、クレームの事後変更に対しても堅牢です。
私たちの分析は、矛盾する証拠に直面したときのモデルの推論における潜在的な限界をさらに示唆しています。
これらの攻撃は、そのようなモデルの検査可能でヒューマンインザループの使用シナリオに有害な影響を与える可能性があることを強調し、将来の防御のための課題と方向性について議論することで締めくくります.

要約(オリジナル)

Mis- and disinformation are a substantial global threat to our security and safety. To cope with the scale of online misinformation, researchers have been working on automating fact-checking by retrieving and verifying against relevant evidence. However, despite many advances, a comprehensive evaluation of the possible attack vectors against such systems is still lacking. Particularly, the automated fact-verification process might be vulnerable to the exact disinformation campaigns it is trying to combat. In this work, we assume an adversary that automatically tampers with the online evidence in order to disrupt the fact-checking model via camouflaging the relevant evidence or planting a misleading one. We first propose an exploratory taxonomy that spans these two targets and the different threat model dimensions. Guided by this, we design and propose several potential attack methods. We show that it is possible to subtly modify claim-salient snippets in the evidence and generate diverse and claim-aligned evidence. Thus, we highly degrade the fact-checking performance under many different permutations of the taxonomy’s dimensions. The attacks are also robust against post-hoc modifications of the claim. Our analysis further hints at potential limitations in models’ inference when faced with contradicting evidence. We emphasize that these attacks can have harmful implications on the inspectable and human-in-the-loop usage scenarios of such models, and conclude by discussing challenges and directions for future defenses.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google