局部差分隐私（LDP）是一种允许用户扰动数据以提供合理否认性的隐私保护技术，但这也使其容易受到投毒攻击。本文首次提出针对排名估计的新型投毒攻击。与简单的频率调整不同，攻击者利用有限数量的假用户精确修改物品频率，从而改变排名以最大化收益。为了应对这一挑战，作者引入了攻击成本和最优攻击物品（集合）的概念，并针对kRR、OUE和OLH三种LDP协议提出了相应策略。对于kRR，采用迭代选择最优攻击物品并分配假用户的方法；对于OUE，迭代确定最优攻击物品集并考虑不同集合间频率的增量变化；对于OLH，基于哈希的原像开发了调和成本函数以支持更多有效攻击物品。此外，还提出了一种基于置信水平的攻击策略，更精确地量化攻击成功概率和迭代次数。通过理论和实验证据证明了攻击的有效性，强调了防御的必要性。代码和数据已开源。本文适合隐私保护、差分隐私安全及数据投毒防御领域的研究人员阅读。

本文系统研究了本地差分隐私（LDP）协议在面对恶意操纵时的基本局限性。本地差分隐私是一种广泛研究的分布式算法约束，用于收集敏感用户数据的聚合统计，目前已部署在多个大型系统中。作者指出，尽管任何算法都可能被谎报输入的对手操纵，但非交互式本地差分隐私协议在隐私级别高或域规模大时，操纵空间显著增大：协议中一小部分恶意用户就可以完全掩盖诚实用户输入的分布。为了应对这一威胁，作者构建了针对本地差分隐私中多种常见任务（如频率估计、均值估计等）的最优鲁棒性协议，这些协议在存在操纵攻击时能保持最大程度的准确性。此外，通过简单实验验证了理论结果，并展示了在无操纵环境下最优的协议在抗操纵鲁棒性上可能存在巨大差异。研究结果建议在部署本地差分隐私时需谨慎，并强调了通过高效密码学技术分布式模拟中心化差分隐私机制的重要性。本文核心贡献包括：(1) 首次系统研究LDP协议的操纵攻击理论局限性；(2) 提出并证明了操纵攻击对LDP协议的影响下界；(3) 设计了针对常见任务的最优鲁棒协议；(4) 实验验证了理论发现。适合从事隐私保护、差分隐私、安全协议设计的研究人员和工程师阅读。