Textbasierte Backdoor‑Attacke auf Graphen: Nur Text manipulieren, große Wirkung

Viele moderne Lernsysteme nutzen Graphdaten, bei denen jeder Knoten zusätzlich Text enthält – etwa wissenschaftliche Artikel mit Abstracts oder soziale Medienprofile mit Beiträgen. Da diese Texte häufig aus offenen Plattformen stammen, kann ein Angreifer heimlich einen kleinen Teil der Trainingsdaten verfälschen und später gezielt falsche Vorhersagen erzwingen.

In einer realistischen Untersuchung beschränkt sich der Angreifer dabei ausschließlich auf die Bearbeitung von Knotentexten, ohne die Graphstruktur zu verändern. Das vorgestellte Verfahren, TAGBD, ist eine textbasierte Backdoor‑Attacke für textattributierte Graphen. Zunächst werden Trainingsknoten identifiziert, die am leichtesten beeinflusst werden können. Anschließend erzeugt ein Schatten‑Graph‑Modell natürliche Trigger‑Texte, die dann entweder den Originaltext ersetzen oder als kurze Phrase anhängen.

Experimentelle Tests auf drei Standard‑Datensätzen zeigen, dass die Attacke äußerst effektiv ist, sich über verschiedene Graphmodelle hinweg überträgt und auch gegen gängige Verteidigungsmaßnahmen stark bleibt. Diese Ergebnisse verdeutlichen, dass Text allein ein praktikabler Angriffsvektor in Graph‑Lernsystemen darstellt und zukünftige Abwehrmechanismen sowohl die Graphverbindungen als auch den Knotentext prüfen sollten.