研究论文
对抗性新闻标题可使 LLM 交易系统年度收益最高下降 17.7 个百分点
研究发现,通过 Unicode 同形字替换和隐藏文本两种手法篡改新闻标题,可误导用于金融情感分析的 LLM,进而使算法交…
2026.07.03 · 周五约 3 分钟阅读
一项发表于 IEEE 安全可信机器学习会议(SaTML 2026)的研究指出,用于驱动算法交易系统(ATS)的金融情感分析大语言模型,正面临一种低成本却高破坏力的攻击面:攻击者只需在单日新闻标题中嵌入人类难以察觉的恶意内容(如 Unicode 同形字替换或隐藏文本条款),即可让模型误判股票名称或情感倾向,从而系统性拉低组合收益。研究以 Backtrader 框架构建了一个融合 LSTM 价格预测与 LLM 情感信号的真实交易系统,并在 14 个月的真实市场数据上进行回测,最终量化得出单日攻击最高可造成 17.7 个百分点的年化收益损失。
研究背景与威胁模型
随着 LLM 在金融领域被广泛用于新闻情感推断,其输出已成为算法交易系统买卖决策的重要依据。但这一管线引入了新型风险:攻击者无需直接接入交易系统,只需控制某一天财经新闻的标题内容,即可对下游模型施加隐式操纵。论文将攻击者设定为对 ATS「黑盒」访问、外部可影响新闻源的实体,评估两种对人眼无感但对模型有效的标题操控方式。
两种对抗手法
- Unicode 同形字替换:用视觉上与英文字母相同的西里尔、希腊等字符替换股票代码中的关键字母,例如将「AAPL」中的某个字符替换为外形一致的异体字,使模型在股票名称识别阶段被错误路由到另一只证券。
- 隐藏文本条款:在标题中加入 CSS 隐藏、白底白字或零宽字符嵌入的子句,使人类读者仅看到正常新闻,但 LLM 在分词或注意力计算中仍会读取到「强烈看空」「立即抛售」等情感指令,从而翻转整体情感判定。
实验设置与关键结果
研究团队搭建的 ATS 同时使用专门金融模型(FinBERT、FinGPT、FinLLaMA)与六个通用大模型提取情感信号,并配合 LSTM 进行价格预测。通过回测连续 14 个月、注入单日对抗样本的策略组合,结果显示:
- 在所有受测模型上,攻击均能稳定诱导错误情感判断或错误股票实体识别;
- 对组合层面而言,最坏情形导致年化回报率损失达 17.7 个百分点;
- 两类攻击手法(字符级欺骗与语义级欺骗)对不同模型的有效性存在差异,但都构成可观威胁。
现实可行性验证
为说明威胁并非纸面推演,论文做了三项落地证据工作:
- 审计了主流新闻抓取库与交易平台对 Unicode 标准化、隐藏文本过滤的处理情况,发现多数并未对同形字与零宽字符做专门防御;
- 对 27 位金融科技从业者进行问卷调查,结果与论文核心假设一致——多数受访者并未在生产管线中部署针对此类对抗样本的检测;
- 已通过负责任披露流程将安全问题告知相关交易平台运营方。
论文最终版将于 IEEE Xplore 上的 SaTML 2026 会议论文集中公开,DOI 已通过 DataCite 关联 arXiv 预印本。
