Reference Recommendation based Membership Inference Attack against Hybrid-based Recommender Systems¶

会议: AAAI 2026
arXiv: 2512.09442
代码: 无（附录中提供了实现代码）
领域: AI安全
关键词: 成员推理攻击, 混合推荐系统, 参考推荐, 相对成员度量, 隐私攻击

一句话总结¶

提出基于参考推荐的成员推理攻击（MIA），设计相对成员度量 \(\rho(u) = d(v_t, v_h) / d(v_t, v_r)\)，利用混合推荐系统的个性化特性获取参考推荐，首次有效攻击混合推荐系统，攻击成功率高达 93.4% 且计算成本仅需 10 秒。

研究背景与动机¶

现有攻击的局限¶

已有 MIA 方法（如 ST-MIA、DL-MIA）存在两个关键问题：

不切实际的假设：假设所有有交互历史的用户都是成员，没有交互的新用户是非成员。但现实中，已有用户也可能是非成员（例如 opt-out 了数据收集，或在训练窗口之外加入平台）。

仅适用于混合组件推荐系统：现有攻击利用的是"成员用协同过滤、非成员用基于热度的推荐"这两种不同算法之间的行为差异。当面对混合推荐系统（Hybrid-based RS）——同一算法同时利用交互历史和用户属性为所有用户服务时，现有攻击完全失效（成功率接近随机猜测 50%）。

关键研究问题¶

混合推荐系统中的个性化如何影响 MIA？ 这是一个非平凡的问题： - 一方面，更强的个性化可能意味着更多隐私暴露 - 另一方面，混合推荐系统能缓解冷启动和过拟合问题，理论上应强化对 MIA 的防御

此前高效的无影子攻击方法（chi2024shadow）也无法适用于此场景——因为新用户不再获得统一的基于热度的推荐，而是获得基于其属性的个性化推荐。

方法详解¶

整体框架¶

攻击流程分为三步： 1. 用目标用户的交互历史 + 属性查询推荐系统，获取目标推荐 \(\mathcal{Y}_{u\_target}\) 2. 仅用目标用户的属性查询推荐系统，获取参考推荐 \(\mathcal{Y}_{u\_ref}\) 3. 通过相对成员度量 \(\rho(u)\) 比较目标推荐、参考推荐和历史交互，推断成员状态

关键设计¶

1. 参考推荐获取¶

核心洞察：混合推荐系统的独特能力——即使没有交互历史，也能基于用户属性生成个性化推荐。攻击者巧妙利用这一特性：仅用属性 \(\Phi_u\) 查询系统，获得一个"没有训练信息影响"的参考基线。

\[\mathcal{Y}_{u\_ref} = [y_{r_1}, \cdots, y_{r_n}]\]

设计动机：参考推荐代表了"如果该用户的数据未用于训练，推荐系统会给出什么"。将其与实际推荐对比，可以放大成员与非成员之间的差异。

2. 相对成员度量（Relative Membership Metric）¶

\[\rho(u) = \frac{\|v_t - v_h\|_2}{\|v_t - v_r\|_2}\]

其中 \(v_t\)、\(v_h\)、\(v_r\) 分别为目标推荐、历史交互和参考推荐的特征向量（通过物品嵌入的平均值计算）。

判定规则：\(\rho(u) < 1\) 判为成员，否则判为非成员。

直觉：如果目标推荐更接近历史交互（而非参考推荐），说明历史交互可能参与了模型训练。

3. 度量的数学优势分析¶

令 \(x = d(v_t, v_h)/M\) 为归一化变量，度量等价于函数 \(f(x) = x/(1-x)\)，而现有线性度量等价于 \(g(x) = cx\)。

\(f'(x) = 1/(1-x)^2 > 0\)，\(f''(x) = 2/(1-x)^3 > 0\)：度量值在成员和非成员间的变化是非线性递增的
对于非成员（\(x\) 较大），度量变化越来越剧烈，放大了成员与非成员之间的差距
线性度量 \(g'(x) = c\) 的变化率恒定，对边界附近的样本区分力不足

特殊案例联系：之前的高效无影子方法可视为本文度量的特例——其参考推荐 \(v_r\) 是由物品热度决定的常数，不因用户而变。本文的 \(v_r\) 是个性化的。

4. 特征向量构建¶

从公开可爬取的数据集中提取物品特征嵌入：

\[\hat{C}^{p \times q} = H \cdot W^T\]

通过矩阵分解将用户-物品交互矩阵分解，\(W\) 的每一行 \(w_i\) 为第 \(i\) 个物品的隐特征向量。特征向量计算为列表中物品嵌入的均值：

\[v_h = \frac{1}{m}\sum_{i=1}^{m} w_{h_i}, \quad v_t = \frac{1}{n}\sum_{i=1}^{n} w_{y_{t_i}}, \quad v_r = \frac{1}{n}\sum_{i=1}^{n} w_{y_{r_i}}\]

损失函数 / 训练策略¶

本文方法无需训练——不需要影子模型、不需要训练攻击分类器。仅计算一个度量值并与阈值 1 比较即可，时间复杂度仅为 \(O(l)\)（\(l\) 为特征向量长度）。

实验关键数据¶

主实验¶

目标推荐系统：DropoutNet 和 Heater
目标数据集：MovieLens-1M (ML-1M) 和 MovieLens-100K (ML-100K)
影子数据集（用于基线）：ACM RecSys 2017 Challenge

攻击成功率（ASR）：

目标RS	目标数据集	本文方法	ST-MIA	DL-MIA
DropoutNet	ML-1M	0.9340	0.4995	0.5139
DropoutNet	ML-100K	0.9098	0.5079	0.5011
Heater	ML-1M	0.8376	0.5536	0.4995
Heater	ML-100K	0.7519	0.4920	0.5000

基线方法的 ASR ≈ 0.5，几乎等同于随机猜测，证明现有方法在混合推荐系统上完全失效。

TPR@1%FPR（高可靠性指标）：

目标RS	目标数据集	本文方法	ST-MIA	DL-MIA
DropoutNet	ML-1M	99.84%	24.61%	21.15%
DropoutNet	ML-100K	68.88%	21.26%	11.82%
Heater	ML-1M	97.83%	25.05%	24.02%
Heater	ML-100K	56.05%	3.18%	1.32%

消融实验¶

计算效率对比：

方法	平均计算时间	相对速度
本文方法	10.4 秒	1×
ST-MIA	973.3 秒	93.6× 慢
DL-MIA	38,550 秒	3706.7× 慢

推荐数量 n 的影响：\(n\) 从 10 增到 100，ASR 保持稳定并略有提升（如 (Dro., 100K) 从 < 0.9 增至 > 0.9）。

特征向量长度 l 的影响：\(l\) 从 10 到 100，ASR 无显著变化，表明方法对此参数不敏感。

差分隐私防御评估：

设置 (Dro., 100K)	ε=0.1	ε=0.5	ε=1.0	无 DP
ASR	0.5101	0.7837	0.7996	0.9098

DP 提供了一定的隐私保护（\(\epsilon = 0.1\) 时 ASR 接近 0.5），但本文攻击在中等隐私预算下仍然有效。

关键发现¶

首次有效攻击混合推荐系统：现有基于影子训练的方法在混合推荐系统上完全失效（ASR ≈ 0.5）
极高效率：无需影子模型训练，10.4 秒 vs 38,550 秒，快了 3700 倍
可靠性极强：在 DropoutNet + ML-1M 上 TPR@1%FPR 达 99.84%
分布可视化：成员与非成员的度量值分布明显分离，\(\rho = 1\) 的阈值边界几乎完美划分两类

亮点与洞察¶

利用系统特性攻击系统：巧妙利用混合推荐系统"仅凭属性也能推荐"的能力作为攻击工具——你消除冷启动的能力恰恰成为你的隐私漏洞
度量设计之美：\(x/(1-x)\) 的非线性形式天然适合二分类，无需用户指定阈值（恒为 1），对绝对值不敏感
免训练范式：与需要训练影子模型和攻击分类器的方法不同，本文方法仅需两次黑盒查询和简单运算
理论与实证统一：从函数分析到分布可视化，全方位证明了度量的有效性

局限与展望¶

仅使用欧几里得距离：其他距离度量（Jaccard、KL 散度等）留待未来探索
数据集规模有限：仅在 MovieLens 系列上验证
阈值固定为 1：虽然理论上合理，但灵活阈值可能进一步提升性能
防御分析有限：仅评估了差分隐私，未考虑其他防御机制

评分¶

新颖性: ⭐⭐⭐⭐⭐ — 首次攻击混合推荐系统，参考推荐思路巧妙
实验充分度: ⭐⭐⭐⭐ — 2个RS×2个数据集，含参数分析和防御评估
写作质量: ⭐⭐⭐⭐ — 数学分析严谨，但部分符号稍显冗余
价值: ⭐⭐⭐⭐ — 揭示了重要的隐私漏洞，对推荐系统安全有预警意义