推特開源的推薦算法被發(fā)現(xiàn)有惡意屏蔽漏洞

推特開源推薦算法才公布一個(gè)星期，就被研究人員發(fā)現(xiàn)有漏洞，可導(dǎo)致用戶賬號(hào)遭到惡意屏蔽（shadow banning）攻擊。

所謂惡意屏蔽是指在社交媒體或博客上，對(duì)用戶推文或文章施行封鎖、消音、負(fù)面評(píng)論等方法，使其賬號(hào)在社交平臺(tái)評(píng)級(jí)降低，導(dǎo)致其他用戶無法讀取其推文，但用戶本身并不知道自己遭到懲罰。

推特在上周為實(shí)現(xiàn)馬斯克（Elon Musk）平臺(tái)運(yùn)行透明化的承諾，而開源其“為你推薦”區(qū)呈現(xiàn)推文的算法。研究人員Federico Andres Lois在查看算法程序代碼時(shí)發(fā)現(xiàn)，其中存在漏洞，使攻擊者通過控制大量用戶賬號(hào)形成僵尸網(wǎng)絡(luò)（botnet），對(duì)特定賬號(hào)聯(lián)合發(fā)送負(fù)面信號(hào)，像是取消關(guān)注、消音、封鎖、舉報(bào)等行為，形成類似拒絕服務(wù)（denial of service）的攻擊，造成其名譽(yù)評(píng)分降低。該漏洞已被列為CVE-2023-23218，從3月起已發(fā)生多起攻擊。但技術(shù)細(xì)節(jié)并未公布。

欲復(fù)制這種攻擊，攻擊者也可以號(hào)召一群觀點(diǎn)相同的用戶，以任何理由封鎖特定賬號(hào)，就可以產(chǎn)生DoS攻擊。此類手法可以被政黨或組織用來攻擊不同觀點(diǎn)的其他用戶。

Lois指出，這種攻擊中，用戶不知道自己推文被屏蔽，就算知道也無法改變行為來回復(fù)，而且這類攻擊效果會(huì)累計(jì)，無論作者本身怎么推文，都抵不過眾多負(fù)面信號(hào)造成的減分效果。

推特首席執(zhí)行官馬斯克回應(yīng)，若有人能糾出僵尸網(wǎng)絡(luò)攻擊的元兇并使其定罪，將犒賞百萬美元。

事實(shí)上，若撇開漏洞不談，惡意屏蔽或許并不是真的惡意，而是真的被取消關(guān)注了。例如馬斯克今年2月發(fā)現(xiàn)其推文觸及率降低，他相信有引發(fā)惡意屏蔽的bug，但旗下工程師拒絕幫他解決“bug”，認(rèn)為只是粉絲對(duì)他不再感興趣。但這位工程師遭到馬斯克開除，這位CEO很快就叫其他人解決掉該問題。