Connect the Dots: Knowledge Graph-Guided Crawler Attack on Retrieval-Augmented Generation Systems
作者: Mengyu Yao, Ziqi Zhang, Ning Luo, Shaofei Li, Yifeng Cai, Xiangqun Chen, Yao Guo, Ding Li
分类: cs.CR, cs.AI, cs.IR, cs.LG
发布日期: 2026-01-22
💡 一句话要点
提出RAGCRAWLER,利用知识图谱引导爬虫攻击检索增强生成系统,提升隐私窃取效率。
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 检索增强生成 RAG攻击 知识图谱 隐私泄露 自适应随机覆盖 长期规划 条件边际增益
📋 核心要点
- 现有RAG攻击方法依赖启发式规则,缺乏长期规划能力,难以有效提取敏感信息。
- RAGCRAWLER构建知识图谱维护攻击状态,估计条件边际增益,在语义空间规划查询,实现长期攻击。
- 实验表明,RAGCRAWLER在多种RAG架构和数据集上显著优于现有方法,提升语料库覆盖率和攻击鲁棒性。
📝 摘要(中文)
检索增强生成(RAG)系统集成了文档检索与大型语言模型,已被广泛应用。然而,在隐私相关场景中,RAG引入了一种新的隐私风险:攻击者可以精心构造查询,逐步从底层语料库中提取敏感内容。尽管最近的研究已经展示了多轮提取攻击,但它们依赖于启发式方法,并且无法执行长期提取规划。为了解决这些限制,我们将RAG提取攻击形式化为自适应随机覆盖问题(ASCP)。在ASCP中,每个查询都被视为一个概率性动作,旨在最大化条件边际增益(CMG),从而实现不确定性下的原则性长期规划。然而,将ASCP与实际的RAG攻击集成面临三个关键挑战:不可观察的CMG、动作空间中的难处理性以及可行性约束。为了克服这些挑战,我们维护一个全局攻击者端状态来指导攻击。基于这个想法,我们引入了RAGCRAWLER,它构建一个知识图谱来表示已揭示的信息,使用这个全局状态来估计CMG,并在语义空间中规划针对未检索区域的查询。在跨多种RAG架构和数据集的综合实验中,我们提出的方法RAGCRAWLER始终优于所有基线。它在固定的查询预算内实现了高达84.4%的语料库覆盖率,并且比表现最佳的基线平均提高了20.7%。它还保持了高语义保真度和强大的内容重建准确性,同时攻击成本较低。至关重要的是,RAGCRAWLER通过保持对采用查询重写和多查询检索策略的先进RAG系统的有效性,证明了其鲁棒性。我们的工作揭示了重大的安全漏洞,并强调了对RAG采取更强有力保护措施的迫切需求。
🔬 方法详解
问题定义:RAG系统存在隐私泄露风险,攻击者可以通过构造查询从语料库中提取敏感信息。现有攻击方法依赖启发式规则,缺乏长期规划,难以应对复杂的RAG防御机制,例如查询重写和多查询检索。
核心思路:将RAG提取攻击建模为自适应随机覆盖问题(ASCP),每个查询都是一个概率性动作,目标是最大化条件边际增益(CMG),即查询带来的新信息量。通过维护一个全局攻击者端状态,指导查询生成,克服CMG不可观察和动作空间庞大的问题。
技术框架:RAGCRAWLER包含以下主要模块:1) 知识图谱构建模块:用于存储已提取的信息,构建全局攻击者状态。2) CMG估计模块:利用知识图谱信息估计查询的条件边际增益。3) 查询规划模块:在语义空间中规划查询,目标是覆盖未检索区域。4) RAG交互模块:与目标RAG系统交互,获取检索结果。
关键创新:RAGCRAWLER的核心创新在于利用知识图谱来表示攻击者状态,并基于此估计CMG,从而实现长期攻击规划。与现有方法相比,RAGCRAWLER能够更有效地探索语料库,并克服RAG系统的防御机制。
关键设计:RAGCRAWLER使用BERT等预训练语言模型来编码查询和文档,计算语义相似度。知识图谱采用三元组形式表示,节点表示实体,边表示关系。CMG的估计基于已提取信息的覆盖率和新信息的价值。查询规划采用强化学习或进化算法等方法,目标是最大化长期累积的CMG。
🖼️ 关键图片
📊 实验亮点
RAGCRAWLER在多种RAG架构和数据集上进行了评估,实验结果表明,RAGCRAWLER在固定查询预算内实现了高达84.4%的语料库覆盖率,并且比表现最佳的基线平均提高了20.7%。同时,RAGCRAWLER对采用查询重写和多查询检索策略的先进RAG系统仍然有效,证明了其鲁棒性。
🎯 应用场景
该研究揭示了RAG系统在隐私保护方面的潜在风险,可用于评估和改进RAG系统的安全性。研究成果可应用于开发更强大的RAG防御机制,例如查询过滤、访问控制和差分隐私等,以保护敏感信息的安全。
📄 摘要(原文)
Retrieval-augmented generation (RAG) systems integrate document retrieval with large language models and have been widely adopted. However, in privacy-related scenarios, RAG introduces a new privacy risk: adversaries can issue carefully crafted queries to exfiltrate sensitive content from the underlying corpus gradually. Although recent studies have demonstrated multi-turn extraction attacks, they rely on heuristics and fail to perform long-term extraction planning. To address these limitations, we formulate the RAG extraction attack as an adaptive stochastic coverage problem (ASCP). In ASCP, each query is treated as a probabilistic action that aims to maximize conditional marginal gain (CMG), enabling principled long-term planning under uncertainty. However, integrating ASCP with practical RAG attack faces three key challenges: unobservable CMG, intractability in the action space, and feasibility constraints. To overcome these challenges, we maintain a global attacker-side state to guide the attack. Building on this idea, we introduce RAGCRAWLER, which builds a knowledge graph to represent revealed information, uses this global state to estimate CMG, and plans queries in semantic space that target unretrieved regions. In comprehensive experiments across diverse RAG architectures and datasets, our proposed method, RAGCRAWLER, consistently outperforms all baselines. It achieves up to 84.4% corpus coverage within a fixed query budget and deliver an average improvement of 20.7% over the top-performing baseline. It also maintains high semantic fidelity and strong content reconstruction accuracy with low attack cost. Crucially, RAGCRAWLER proves its robustness by maintaining effectiveness against advanced RAG systems employing query rewriting and multi-query retrieval strategies. Our work reveals significant security gaps and highlights the pressing need for stronger safeguards for RAG.