論文の概要: Membership Inference Attacks on LLM-based Recommender Systems

• arxiv url: http://arxiv.org/abs/2508.18665v2
• Date: Sat, 06 Sep 2025 19:43:41 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-09-09 14:07:03.311871
• Title: Membership Inference Attacks on LLM-based Recommender Systems
• Title（参考訳）: LLMに基づくレコメンダシステムにおけるメンバシップ推論攻撃
• Authors: Jiajie He, Yuechun Gu, Min-Chun Chen, Keke Chen,
• Abstract要約: LLM(Large Language Model)ベースのRecommender Systems(RecSys)は、レコメンデーションシステムを異なるドメインに柔軟に適応させることができる。 インコンテキスト学習(ICL)、すなわちプロンプトを使ってレコメンデーション関数をカスタマイズする。 我々は,システムプロンプトによって被害者の歴史的相互作用が使用されているかどうかを明らかにすることを目的とした,4つのメンバシップ推論攻撃(MIA)を設計する。
• 参考スコア（独自算出の注目度）: 13.457001662789366
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Large language models (LLMs) based Recommender Systems (RecSys) can flexibly adapt recommendation systems to different domains. It utilizes in-context learning (ICL), i.e., the prompts, to customize the recommendation functions, which include sensitive historical user-specific item interactions, e.g., implicit feedback like clicked items or explicit product reviews. Such private information may be exposed to novel privacy attack. However, no study has been done on this important issue. We design four membership inference attacks (MIAs), aiming to reveal whether victims' historical interactions have been used by system prompts. They are \emph{direct inquiry, hallucination, similarity, and poisoning attacks}, each of which utilizes the unique features of LLMs or RecSys. We have carefully evaluated them on three LLMs that have been used to develop ICL-LLM RecSys and two well-known RecSys benchmark datasets. The results confirm that the MIA threat on LLM RecSys is realistic: direct inquiry and poisoning attacks showing significantly high attack advantages. We have also analyzed the factors affecting these attacks, such as the number of shots in system prompts and the position of the victim in the shots.
• Abstract（参考訳）: LLM(Large Language Model)ベースのRecommender Systems(RecSys)は、レコメンデーションシステムを異なるドメインに柔軟に適応させることができる。 インコンテキスト学習(ICL)、すなわちレコメンデーション関数をカスタマイズするために、例えばクリックしたアイテムや明示的な製品レビューのような暗黙のフィードバックを含む、機密性の高いユーザ固有のアイテムインタラクションを含む。 このような個人情報は、新たなプライバシー攻撃にさらされる可能性がある。 しかし、この重要な問題についての研究は行われていない。 我々は,システムプロンプトによって被害者の歴史的相互作用が使用されているかどうかを明らかにすることを目的とした,4つのメンバシップ推論攻撃(MIA)を設計する。 それらは 'emph{direct investigation, Hallucination, similarity, and poisoning attack} であり、それぞれが LLM や RecSys のユニークな特徴を利用している。 ICL-LLM RecSys とよく知られた RecSys ベンチマークデータセットの開発に使用されている3つの LLM でそれらを慎重に評価した。 その結果、LLM RecSysに対するMIAの脅威は現実的なものであることが確認された。 また、システムプロンプトにおけるショット数や、ショット中の被害者の位置など、これらの攻撃に影響を及ぼす要因についても分析した。

関連論文リスト

• "Someone Hid It": Query-Agnostic Black-Box Attacks on LLM-Based Retrieval [44.49026453970601]
  大規模言語モデル(LLM)は,検索システムにおいて有効なバックボーンとして機能している。 近年の研究では、LDMをベースとしたRetrievalは敵の攻撃に弱いことが示されている。 ゼロショットサロゲートLPMをベースとした転送可能なインジェクショントークンを生成する実用的なブラックボックス攻撃法を提案する。
  論文  参考訳（メタデータ） (2026-01-30T22:28:04Z)
• Friend or Foe: How LLMs' Safety Mind Gets Fooled by Intent Shift Attack [53.34204977366491]
  大きな言語モデル(LLM)は、印象的な機能にもかかわらず、ジェイルブレイク攻撃に対して脆弱なままである。 本稿では,攻撃意図について LLM を混乱させる ISA (Intent Shift Attack) を提案する。 私たちのアプローチでは、元の要求に対して最小限の編集しか必要とせず、自然で、可読性があり、一見無害なプロンプトをもたらす。
  論文  参考訳（メタデータ） (2025-11-01T13:44:42Z)
• Privacy Risks of LLM-Empowered Recommender Systems: An Inversion Attack Perspective [6.129834080811309]
  従来のレコメンデーションシステムの限界に対処するために,LLM(Large Language Model)を利用したレコメンデーションパラダイムが提案されている。 この研究は、LLMが推奨システムに権限を与えると、システムとユーザのプライバシの両方を公開できるリコンストラクション攻撃に弱いことを明らかにした。
  論文  参考訳（メタデータ） (2025-07-20T05:03:02Z)
• LLM Hypnosis: Exploiting User Feedback for Unauthorized Knowledge Injection to All Users [50.18141341939909]
  ユーザフィードバックで訓練された言語モデルにおける脆弱性について説明する。 単一ユーザは、LMの知識と振る舞いを永続的に変更することができる。 この攻撃は、モデルがこれまで持っていなかった事実的知識を挿入するのに有効であることを示す。
  論文  参考訳（メタデータ） (2025-07-03T17:55:40Z)
• Revisiting Backdoor Attacks on LLMs: A Stealthy and Practical Poisoning Framework via Harmless Inputs [54.90315421117162]
  完全無害データを用いた新しい毒殺法を提案する。 自己回帰型LPMの因果推論に着想を得て,トリガーと肯定的応答プレフィックスの堅牢な関連性を確立することを目指す。 LLMは最初は同意するように見えるが,その後回答を拒む興味深い抵抗現象を観察する。
  論文  参考訳（メタデータ） (2025-05-23T08:13:59Z)
• LLM-Based User Simulation for Low-Knowledge Shilling Attacks on Recommender Systems [28.559223475725137]
  我々は,Large Language Model(LLM)ベースのエージェントを利用して,低知識かつ高インパクトなシリング攻撃を行う新しいフレームワークであるAgent4SRを紹介する。 Agent4SRは、対向的なインタラクションを編成し、アイテムを選択し、評価を割り当て、レビューを作成し、行動の妥当性を維持しながら、現実的なユーザ動作をシミュレートする。 以上の結果から,レコメンデーションシステムにおける防衛強化の必要性を浮き彫りにして,LSMを駆使したエージェントによる新たな緊急脅威の出現が示唆された。
  論文  参考訳（メタデータ） (2025-05-18T04:40:34Z)
• Stealthy LLM-Driven Data Poisoning Attacks Against Embedding-Based Retrieval-Augmented Recommender Systems [16.79952669254101]
  検索強化レコメンデータシステム(RAG)におけるプロバイダ側データ中毒について検討する。 アイテム記述内でわずかなトークンだけを変更することで、攻撃者はターゲットのアイテムを著しくプロモートまたはデモすることができる。 MovieLensの実験では、2つの大きな言語モデル(LLM)検索モジュールを使用して、微妙な攻撃でも最終的なランク付けとアイテムの露出が変化し、単純な検出が発覚した。
  論文  参考訳（メタデータ） (2025-05-08T12:53:42Z)
• SecAlign: Defending Against Prompt Injection with Preference Optimization [52.48001255555192]
  敵のプロンプトは外部のデータソースに注入され、システムの意図した命令をオーバーライドし、悪意のある命令を実行する。 我々は、好みの最適化技術に基づくSecAlignと呼ばれる新しいディフェンスを提案する。 本手法は,訓練中に見られたものよりもはるかに高度な攻撃に対しても,様々なプロンプトインジェクションの成功率を10%に下げる。
  論文  参考訳（メタデータ） (2024-10-07T19:34:35Z)
• Human-Interpretable Adversarial Prompt Attack on Large Language Models with Situational Context [49.13497493053742]
  本研究は,無意味な接尾辞攻撃を状況駆動型文脈書き換えによって意味のあるプロンプトに変換することを検討する。 我々は、独立して意味のある敵の挿入と映画から派生した状況を組み合わせて、LLMを騙せるかどうかを確認します。 当社のアプローチでは,オープンソースとプロプライエタリなLLMの両方で,状況駆動型攻撃を成功させることが実証されている。
  論文  参考訳（メタデータ） (2024-07-19T19:47:26Z)
• Dialectical Alignment: Resolving the Tension of 3H and Security Threats of LLMs [9.624124576891075]
  既存のアライメント手法は、外部エビデンスとパラメトリックメモリが競合する場合、大きな言語モデル(LLM)をアダプティブ・シャメレオン(Adaptive Chameleon)に導くことができる。 我々は、AIフィードバックを利用してLLMの最適戦略を特定し、コンテキスト間の競合をナビゲートする新しいフレームワーク、Dialectical Alignment(DA)を提案する。 実験の結果,DAは有毒なデータ攻撃防御を20倍に改善し,追加のプロンプトエンジニアリングを必要としないことがわかった。
  論文  参考訳（メタデータ） (2024-03-30T22:41:05Z)
• Benchmarking and Defending Against Indirect Prompt Injection Attacks on Large Language Models [79.0183835295533]
  我々は,このような脆弱性のリスクを評価するために,BIPIAと呼ばれる間接的インジェクション攻撃のための最初のベンチマークを導入した。 我々の分析では、LLMが情報コンテキストと動作可能な命令を区別できないことと、外部コンテンツ内での命令の実行を回避できないことの2つの主要な要因を同定した。 ブラックボックスとホワイトボックスという2つの新しい防御機構と、これらの脆弱性に対処するための明確なリマインダーを提案する。
  論文  参考訳（メタデータ） (2023-12-21T01:08:39Z)
• ReEval: Automatic Hallucination Evaluation for Retrieval-Augmented Large Language Models via Transferable Adversarial Attacks [91.55895047448249]
  本稿では,LLMベースのフレームワークであるReEvalについて述べる。 本稿では、ChatGPTを用いてReEvalを実装し、2つの人気のあるオープンドメインQAデータセットのバリエーションを評価する。 我々の生成したデータは人間可読であり、大きな言語モデルで幻覚を引き起こすのに役立ちます。
  論文  参考訳（メタデータ） (2023-10-19T06:37:32Z)
• Goal-Oriented Prompt Attack and Safety Evaluation for LLMs [43.93613764464993]
  高品質なプロンプト攻撃サンプルを構築するパイプラインと、CPADと呼ばれる中国のプロンプト攻撃データセットを導入する。 我々のプロンプトは、慎重に設計されたいくつかのプロンプトアタックテンプレートで、予期せぬ出力を生成するためにLSMを誘導することを目的としている。 GPT-3.5に対する攻撃成功率は70%程度であった。
  論文  参考訳（メタデータ） (2023-09-21T07:07:49Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。