LogicPoison: Logical Attacks on Graph Retrieval-Augmented Generation
作者: Yilin Xiao, Jin Chen, Qinggang Zhang, Yujing Zhang, Chuang Zhou, Longhao Yang, Lingfei Ren, Xin Yang, Xiao Huang
分类: cs.CL, cs.AI
发布日期: 2026-04-06
💡 一句话要点
提出LogicPoison,针对图检索增强生成系统的逻辑连接进行攻击。
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 图检索增强生成 知识图谱 逻辑攻击 实体交换 推理攻击
📋 核心要点
- GraphRAG系统依赖图谱的拓扑结构进行推理,但其逻辑连接的安全性未得到充分重视。
- LogicPoison通过实体交换扰乱图谱的逻辑连接,而非修改文本内容,从而实现隐蔽攻击。
- 实验证明LogicPoison能有效降低GraphRAG的性能,且优于现有攻击方法。
📝 摘要(中文)
本文提出了一种针对图检索增强生成(GraphRAG)系统的新型攻击框架LogicPoison。GraphRAG通过将大型语言模型(LLM)的响应建立在结构化知识图谱的基础上,增强了其推理能力。LogicPoison并非注入虚假内容,而是通过隐式地破坏逻辑连接来攻击GraphRAG系统的拓扑完整性。该框架采用类型保持的实体交换机制,扰乱全局逻辑枢纽以破坏整体图连接,并切断查询特定的推理桥梁以阻断关键的多跳推理路径。实验结果表明,LogicPoison能够有效绕过GraphRAG的防御,显著降低其性能,并在有效性和隐蔽性方面优于现有技术。
🔬 方法详解
问题定义:GraphRAG系统通过利用知识图谱增强LLM的推理能力,但现有方法主要关注文本内容的攻击,忽略了图谱逻辑连接的脆弱性。攻击者可以通过操纵图谱的拓扑结构,误导LLM的推理过程,从而降低GraphRAG的性能。现有方法难以有效且隐蔽地攻击GraphRAG系统。
核心思路:LogicPoison的核心思路是通过扰乱知识图谱的逻辑连接,而非直接注入错误信息,来误导GraphRAG系统的推理过程。通过改变实体之间的关系,使得LLM在检索信息时,无法找到正确的推理路径,从而产生错误的答案。这种攻击方式更加隐蔽,难以被传统的防御机制检测到。
技术框架:LogicPoison攻击框架主要包含以下几个阶段:1) 目标选择:选择需要攻击的图谱部分,包括全局逻辑枢纽和查询特定的推理桥梁。2) 实体交换:采用类型保持的实体交换机制,确保交换后的实体类型与原始实体一致,避免引入明显的语义错误。3) 攻击实施:将交换后的实体关系注入到知识图谱中,并利用修改后的图谱进行RAG。4) 效果评估:评估攻击对GraphRAG系统性能的影响。
关键创新:LogicPoison的关键创新在于其攻击目标是图谱的逻辑连接,而非文本内容。通过类型保持的实体交换,在不改变表面语义的情况下,破坏了图谱的拓扑结构,使得攻击更加隐蔽和有效。这种攻击方式能够绕过传统的基于文本内容的防御机制。
关键设计:LogicPoison的关键设计包括:1) 类型保持的实体交换:确保交换后的实体类型与原始实体一致,避免引入明显的语义错误。2) 全局逻辑枢纽扰乱:通过扰乱全局逻辑枢纽,破坏整体图连接,影响全局推理能力。3) 查询特定推理桥梁切断:针对特定查询,切断关键的多跳推理路径,阻断正确的推理过程。
🖼️ 关键图片
📊 实验亮点
实验结果表明,LogicPoison能够有效绕过GraphRAG的防御,显著降低其性能。在多个基准测试中,LogicPoison的攻击效果优于现有技术,并且具有更高的隐蔽性。具体性能数据(例如准确率下降百分比)在论文中进行了详细展示。
🎯 应用场景
LogicPoison的研究成果可应用于评估和提升GraphRAG系统的安全性。通过模拟LogicPoison攻击,可以发现GraphRAG系统在逻辑推理方面的薄弱环节,并开发相应的防御机制。该研究对于构建更安全、可靠的知识图谱应用具有重要意义。
📄 摘要(原文)
Graph-based Retrieval-Augmented Generation (GraphRAG) enhances the reasoning capabilities of Large Language Models (LLMs) by grounding their responses in structured knowledge graphs. Leveraging community detection and relation filtering techniques, GraphRAG systems demonstrate inherent resistance to traditional RAG attacks, such as text poisoning and prompt injection. However, in this paper, we find that the security of GraphRAG systems fundamentally relies on the topological integrity of the underlying graph, which can be undermined by implicitly corrupting the logical connections, without altering surface-level text semantics. To exploit this vulnerability, we propose \textsc{LogicPoison}, a novel attack framework that targets logical reasoning rather than injecting false contents. Specifically, \textsc{LogicPoison} employs a type-preserving entity swapping mechanism to perturb both global logic hubs for disrupting overall graph connectivity and query-specific reasoning bridges for severing essential multi-hop inference paths. This approach effectively reroutes valid reasoning into dead ends while maintaining surface-level textual plausibility. Comprehensive experiments across multiple benchmarks demonstrate that \textsc{LogicPoison} successfully bypasses GraphRAG's defenses, significantly degrading performance and outperforming state-of-the-art baselines in both effectiveness and stealth. Our code is available at \textcolor{blue}this https URL.