生成对抗性文本：实践

相较于图像的连续性，为文本生成对抗样本具有独特的难度。文本本质上是离散的，由字符、词语和句子构成。扰动通常需要在词语或字符层面进行，这使得直接应用梯度变得困难。此外，有效的对抗性文本通常需要保持语义和语法流畅性，才能具有说服力或绕过人工审核。为如何构建针对NLP模型的对抗性文本，提供了实用指导和示例。

我们将介绍常见策略并说明如何实现它们，这通常会用到专为NLP对抗性攻击设计的专门库。假设您已拥有一个可用的Python环境，包含常用机器学习库（transformers、torch或tensorflow、datasets）以及可能用到的NLP攻击库，例如TextAttack。

文本扰动的核心策略

对抗性文本生成通常涉及修改输入文本$x$以创建扰动版本$x_{adv}$，使得目标模型$f$对$x_{adv}$进行错误分类（例如，将情感从积极改为消极），同时$x_{adv}$与$x$在语义上保持相似且通常语法正确。常见的扰动策略在不同粒度下运行：

1. 词语层面修改

这些是最常用的技术之一，因为它们能够明显改变模型预测，同时保持可读性。

• 同义词替换： 将词语替换为同义词。其核心思想是同义词应保留原意，但可能具有不同的嵌入或对模型内部表示产生不同影响。

  • 流程： 识别候选词语（通常根据重要性得分或非停用词）。寻找同义词（使用WordNet等资源或嵌入空间中的最近邻）。将原词替换为同义词，通常会检查词性 (POS) 标注一致性等限制。
  • 示例： "The film was excellent." -> "The film was superb."
  • 难点： 确保所选同义词符合上下文，并且不会以攻击者不希望的方式进行不易察觉的含义改变。嵌入可能会找到技术上相近但上下文不正确的同义词。

• 词语插入/删除： 添加或删除对人类读者而言看似不重要的词语，但这些词语可能扰乱模型的处理。

  • 流程： 插入中性词语（例如“ DUMMY ”、“ oh ”）或删除看似不重要的词语（例如标点符号、某些形容词/副词）。
  • 示例： "The movie was good." -> "The movie, oh, was good."
  • 难点： 保持语法正确性并避免出现无意义的句子，尤其是在插入词语时。

• 词语重排： 改变词语或短语的顺序。这有时会使模型（特别是旧的序列模型）感到困惑，同时对人类而言含义没有明显改变。

  • 示例： "It was not good, actually bad." -> "Actually bad, it was not good."
  • 难点： 如果不小心操作，通常会导致不符合语法的句子。

2. 字符层面修改

这些攻击在字符层面引入微小变化，类似于打字错误。它们可以有效对抗对表面形式或字符级CNN/RNN敏感的模型。

• 常见操作： 字符插入、删除、替换（打字错误）、交换（相邻字符）。
• 示例： "The movie was great." -> "The movie was graet." or "The movie was grea t."
• 难点： 可能使文本看起来不自然或容易被拼写检查器发现。其有效性严重依赖于目标模型的架构和训练数据。

寻找对抗性文本的搜索算法

由于我们无法直接计算离散词语选择的梯度，因此寻找最佳扰动序列需要搜索算法。目标通常是最小化修改次数（扰动距离），同时最大化攻击成功率（例如，导致错误分类）。

• 贪婪搜索（词语替换）： 这是一种常见方法。

  1. 根据输入文本中词语的重要性对其进行评分（例如，删除它们会改变模型对正确类别的预测概率多少）。
  2. 从得分最高的词语开始。
  3. 尝试用候选同义词替换。
  4. 选择最有效降低模型对原始标签置信度（或增加对目标标签置信度）的替换，同时满足限制（词性匹配、语义相似度阈值）。
  5. 对下一个最重要的词语重复此过程，直到攻击成功或扰动预算耗尽。

• 集束搜索： 在每一步跟踪多个候选扰动序列（集束），与纯粹的贪婪方法相比，可能找到更好的解决方案，但计算成本更高。

• 遗传算法： 利用种群、突变（应用扰动）、交叉（结合扰动策略）和适应度（攻击成功/语义相似度）等思想来演化有效的对抗样本。

使用TextAttack进行实践

像TextAttack这样的框架极大地简化了发起这些攻击的过程。TextAttack提供了预构建的组件：

• 模型： 模型的包装器（例如，来自Hugging Face transformers）。
• 数据集： 用于加载标准NLP数据集的工具。
• 转换： 扰动方法的实现（例如，WordSwapWordNet、CharacterDeletion）。
• 约束： 确保扰动文本质量的规则（例如，MaxWordsPerturbed、WordEmbeddingDistance、PartOfSpeech）。
• 目标函数： 定义攻击目标（例如，UntargetedClassification、TargetedClassification）。
• 搜索方法： 像GreedyWordSwapWIR（基于词语重要性排序的贪婪词语交换）这样的算法。
• 攻击方案： 上述组件的预打包组合，通常复现已发表的攻击方法（例如，TextFoolerJin2019、DeepWordBugGao2018）。

以下是使用TextAttack的示例：

# 使用 TextAttack 的 Python 代码
# 注意：这是说明性伪代码，未进行设置无法直接运行

from textattack.attack_recipes import TextFoolerJin2019
from textattack.datasets import HuggingFaceDataset
from textattack.models.wrappers import HuggingFaceModelWrapper
from textattack import Attacker
from transformers import AutoModelForSequenceClassification, AutoTokenizer

# 1. 加载模型和分词器
model_name = "distilbert-base-uncased-finetuned-sst-2-english"
model = AutoModelForSequenceClassification.from_pretrained(model_name)
tokenizer = AutoTokenizer.from_pretrained(model_name)
model_wrapper = HuggingFaceModelWrapper(model, tokenizer)

# 2. 加载数据集（示例：SST-2 验证集的前 10 个样本）
# 通常您会加载想要攻击的特定数据点
dataset = HuggingFaceDataset("glue", "sst2", split="validation")
# subset_for_demo = dataset[:10] # 仅用于演示

# 3. 选择攻击方案
# TextFooler 使用词嵌入进行同义词替换和词语重要性排序
attack = TextFoolerJin2019.build(model_wrapper)

# 4. 设置攻击器
# 此数据集提供 (文本, 标签) 对
attacker = Attacker(attack, dataset)

# 5. 运行攻击
results = attacker.attack_dataset()

# 6. 分析结果
# 结果是一个可迭代对象；每个项包含原始文本、扰动文本、
# 原始输出、扰动输出等。
for result in results:
    print(result)
    # 示例：检查是否成功
    # print(result.perturbed_result.perturbed_text)
    # print(f"原始输出: {result.original_result.output}")
    # print(f"扰动输出: {result.perturbed_result.output}")

这种工作流程让您可以通过框架的预构建组件，用最少的代码执行像TextFooler这样的复杂攻击。

评估对抗性文本质量

仅仅引起错误分类是不够的。一项好的评估会考量：

• 攻击成功率 (ASR)： 成功扰动以欺骗模型的输入百分比。
• 扰动率： 文本被改变的程度（例如，修改词语的百分比、Levenshtein距离）。通常越低越好。
• 语义相似度： 对抗性文本是否仍然表示相同含义？通过计算（使用句子嵌入，例如USE向量之间的余弦相似度）或人工判断进行衡量。
• 语法性和流畅性： 文本是否语法正确且可读？通常使用语言模型（困惑度）或人工评估进行评判。

使用攻击框架生成和评估对抗性文本的流程。攻击方案会迭代查询目标模型，以引导搜索满足质量约束并能够欺骗模型的扰动。

实践建议

1. 设置 TextAttack： 安装库（pip install textattack）。
2. 运行预构建方案： 使用上述示例（或TextAttack的文档示例），用已知数据集（如GLUE的SST-2）中的少量样本攻击标准模型（如distilbert-base-uncased-finetuned-sst-2-english）。
3. 检查输出： 仔细观察生成的对抗样本。它们成功了吗？它们改变了多少？它们是否保留了含义？它们流畅吗？
4. 尝试不同方案： 试用其他方案，如DeepWordBugGao2018（字符层面）或BERTAttackLi2020。比较它们的有效性和扰动的性质。
5. 修改约束： 选取现有方案并调整其约束。例如，限制扰动词语的百分比（MaxModificationRate）或强制更严格的语义相似度（来自textattack.constraints.semantics.sentence_encoders的SentenceEncoder约束）。观察这如何影响ASR和生成文本的质量。
6. 针对不同模型： 将相同的攻击应用于不同的模型（例如RoBERTa、其他微调的BERT变体），观察攻击是否可迁移或需要调整。

这项实践将提供在自然语言处理这一具有挑战性的方向中生成对抗样本的实际经验。请记住，在攻击有效性、语义保持和流畅性之间取得平衡仍然是一个活跃的研究方向。