推特开源推荐算法才公布一个星期,就被研究人员发现有漏洞,可导致用户账号遭到恶意屏蔽(shadow banning)攻击。
所谓恶意屏蔽是指在社交媒体或博客上,对用户推文或文章施行封锁、消音、负面评论等方法,使其账号在社交平台评级降低,导致其他用户无法读取其推文,但用户本身并不知道自己遭到惩罚。
推特在上周为实现马斯克(Elon Musk)平台运行透明化的承诺,而开源其“为你推荐”区呈现推文的算法。研究人员Federico Andres Lois在查看算法程序代码时发现,其中存在漏洞,使攻击者通过控制大量用户账号形成僵尸网络(botnet),对特定账号联合发送负面信号,像是取消关注、消音、封锁、举报等行为,形成类似拒绝服务(denial of service)的攻击,造成其名誉评分降低。该漏洞已被列为CVE-2023-23218,从3月起已发生多起攻击。但技术细节并未公布。
欲复制这种攻击,攻击者也可以号召一群观点相同的用户,以任何理由封锁特定账号,就可以产生DoS攻击。此类手法可以被政党或组织用来攻击不同观点的其他用户。
Lois指出,这种攻击中,用户不知道自己推文被屏蔽,就算知道也无法改变行为来回复,而且这类攻击效果会累计,无论作者本身怎么推文,都抵不过众多负面信号造成的减分效果。
推特首席执行官马斯克回应,若有人能纠出僵尸网络攻击的元凶并使其定罪,将犒赏百万美元。
事实上,若撇开漏洞不谈,恶意屏蔽或许并不是真的恶意,而是真的被取消关注了。例如马斯克今年2月发现其推文触及率降低,他相信有引发恶意屏蔽的bug,但旗下工程师拒绝帮他解决“bug”,认为只是粉丝对他不再感兴趣。但这位工程师遭到马斯克开除,这位CEO很快就叫其他人解决掉该问题。