推特開源的推薦演算法被發現有惡意屏蔽漏洞

推特開源推薦演算法才公布一個星期，就被研究人員發現有漏洞，可導致用戶帳號遭到惡意屏蔽（shadow banning）攻擊。

所謂惡意屏蔽是指在社交媒體或部落格上，對用戶推文或文章施行封鎖、消音、負面評論等方法，使其帳號在社交平臺評等降低，導致其他用戶無法讀取其推文，但用戶本身並不知道自己遭到懲罰。

推特在上周為實現馬斯克（Elon Musk）平臺運作透明化的承諾，而開源其「為你推薦」區呈現推文的演算法。研究人員Federico Andres Lois在檢視演算法程式碼時發現，當中存在漏洞，使攻擊者透過控制大量用戶帳號形成殭屍網路（botnet），對特定帳號聯合發送負面訊號，像是取消追蹤、消音、封鎖、檢舉等行為，形成類似阻斷服務（denial of service）的攻擊，造成其名譽評分降低。該漏洞已被列為CVE-2023-23218，從3月起已發生多起攻擊。但技術細節並未公布。

欲複製這種攻擊，攻擊者也可以號召一群觀點相同的使用者，以任何理由封鎖特定帳號，就可以產生DoS攻擊。此類手法可以被政黨或組織用來攻擊不同觀點的其他使用者。

Lois指出，這種攻擊中，使用者不知道自己推文被屏蔽，就算知道也無法改變行為來回復，而且這類攻擊效果會累積，無論作者本身怎麼推文，都抵不過眾多負面訊號造成的減分效果。

推特執行長馬斯克回應，若有人能糾出殭屍網路攻擊的元兇並使其定罪，將犒賞百萬美元。

事實上，若撇開漏洞不談，惡意屏蔽或許並不是真的惡意，而是真的被取消關注了。例如馬斯克今年2月發現其推文觸及率降低，他相信有引發惡意屏蔽的臭蟲，但旗下工程師拒絕幫他解決「臭蟲」，認為只是粉絲對他不再感興趣。但這位工程師遭到馬斯克開除，這位CEO很快就叫其他人解決掉該問題。