1789年7月14日,巴黎人民攻克巴士底狱,法国大革命爆发。2023年7月14日,我们要攻克现代论文审稿体系,让我们讨厌的审稿人远离我们的论文!怎么样,这样的研究工作你是不是很心动?这就是我们今天要介绍的USENIX Security 2023论文 No more Reviewer #2: Subverting Automatic Paper-Reviewer Assignment using Adversarial Learning 以及论文的作者之一Kornad Rieck在DIMVA 2023上做的keynote speak报告 When Papers Choose their Reviewers: Adversarial Machine Learning in Peer Review
有投稿经验的同学都知道,论文在所谓的双盲(double-blind)审稿过程中,作者不知道审稿人,审稿人也不知道作者。而如果你担任过学术会议的审稿委员会成员(PC member),你也可能了解论文的bidding机制和分配机制。而随着某些研究领域(我们并没有特指AI)的爆红,投稿论文数目多到你每3秒钟看一篇论文的title,看8个小时你也看不完,这时候肯定不可能用人工的方式来为每篇论文分配审稿人:
于是基于AI的自动审稿人分配系统应运而生,可以根据论文的研究主题来挑选相关(合适的)审稿人,这是怎么做到的呢?
和一些基本的机器学习任务类似,自动化审稿人分配系统首先也是将论文转换成特定的vector,然后从这些vector中提取论文相关的主题(topic),最后再把特定的论文和跟这篇论文的topic最相关的审稿人匹配(根据审稿人自己提供的专业方向也就是expertise来进行匹配)
但是,既然这几年关于对抗性机器学习的研究如此火热,为什么不把这个思路用来对付审稿系统呢?这就是本文的有趣之处。当然,这个攻击需要同时满足两个条件,首先是要能欺骗系统,让它把论文分配给你想要指定的审稿人,其次你还要保证这篇论文本身是可读的,不能因为为了欺骗系统而把原文改得乱七八糟。
要做到这一点,作者引入了两类transformation:
第一类变换和我们之前了解的针对URL的可视欺骗攻击有点像,就是利用PDF的一些特性,制造出很多人眼不好分辨,但是机器会被欺骗的文本格式:
第二类变换有点像翟天临我们在搞论文抄袭的时候经常干的那样,把一些词语用同义词替换,或者通过加入一些毫无意义的参考文献,来诱导审稿分配系统:
特别值得一提的是,由于大语言模型的普及,现在开展第二类变换越来越方便了!
作者针对2020年的Oakland会议进行了模拟实验,收集了165位PC成员的expertise,然后从arXiv上找了32篇真实的论文作为模拟投稿材料:
实验表明,如果攻击者能够了解审稿分配系统的细节,并且对PDf能够进行全面的变换,可以非常有效地控制审稿分配!
作者最后表达了对当前自动化论文分配机制的安全缺陷的担忧,也指出目前我们还缺乏有效的应对措施,不知道作者自己的这篇投稿是不是也是实验的一部分呢(误)~
DIMVA 2023 报告:https://www.visp.wien/lectures/2023-05-03_Konrad_Rieck.pdf
USENIX Security 2023 论文:https://eisenhofer.me/data/eisenhofer-23-subverting.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2023-07-14 要了审稿系统的命
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论