传统RS依赖id信息进行推荐，攻击：生成虚假用户，这些用户对特定目标物体给于高评价，从而影响模型的训练。

基于llm的RS：llm利用语义理解，将用户兴趣转化为语义向量，通过计算用户兴趣向量与物品向量之间的相似度来进行推荐。

创新点

将LLM引入推荐系统 recommender systems (RS)，存在潜在脆弱性：

攻击者可以在测试阶段改变目标项目的文本内容（标题、描述）来提高目标项目的曝光率，而不需要直接干扰模型的训练过程。攻击很隐蔽的，不会影响整体推荐性能。

如图，基于llm的RS模型的文本攻击范式。

修改目标物品的标题，误导RS模型对其进行更高的排名。修改微妙，整体推荐性能几乎没有变化。

方法

1.使用单词插入

预定义一个积极感叹词语料库。随机从语料库中挑选k个单词插入到原文内容的末尾，并保持整体的连贯性。提高目标被系统推荐的可能性。

2.利用（gpt）重写

利用GPT模型指导内容改写，生成与目标任务关联的多种改写版本，从中筛选出最符合攻击意图的结果。

文本攻击的主要组成部分

1.目标函数：用来评估最合适的文本扰动，作为搜索方法识别最优解的依据。

2.限制：确保扰动是原始输入的有效改变，强调语义保留和词性标签的一致性等方面。

3.转换：输入的扰动的过程，交换(同义词交换、词嵌入)。

4.搜索方法：迭代查询模型 ，选择转换产生的扰动，采用诸如具有单词重要性排序的贪婪方法，束搜索或遗传算法等技术。