← 返回 2026-02-17

检索增强生成系统中知识提取攻击与防御的基准测试研究 Benchmarking Knowledge-Extraction Attack and Defense on Retrieval-Augmented Generation

Zhisheng Qi, Utkarsh Sahu, Li Ma, Haoyu Han, Ryan Rossi, Franck Dernoncourt, Mahantesh Halappanavar, Nesreen Ahmed, Yushun Dong, Yue Zhao, Yu Zhang, Yu Wang 📅 2026-02-10 👍 1 2026-07-13 08:35
RAG安全 基准测试 大语言模型 知识提取攻击 隐私保护

首个针对RAG系统知识提取攻击的系统性基准测试,涵盖6种攻击策略和4种防御机制

前置知识

检索增强生成(RAG)

检索增强生成是一种将外部知识库检索与语言模型生成相结合的AI系统架构。当用户提出查询时,系统先从知识库中检索相关文档,然后将检索到的内容与用户查询组合成提示词,输入给语言模型生成最终答案。这种架构能够缓解模型幻觉问题、支持知识动态更新,但也引入了新的安全风险——攻击者可以通过精心设计的查询提取知识库中的敏感信息。

理解RAG架构是读懂本文的基础,因为论文的所有攻击和防御策略都针对RAG系统的检索-生成两阶段流水线设计。

知识提取攻击

知识提取攻击是指攻击者通过精心构造的查询,诱导RAG系统泄露其知识库中的敏感内容。攻击由两个核心组件构成:INFORMATION组件通过优化查询嵌入空间,引导检索器返回目标敏感内容;COMMAND组件通过提示指令,诱导生成器逐字复现检索到的内容。攻击目标是在多轮查询中最大化提取的目标知识,同时最小化对无关知识的提取。

知识提取攻击是本文的核心研究对象,理解其工作原理对于评估RAG系统的隐私风险和设计防御策略至关重要。

嵌入向量与余弦相似度

嵌入向量是将文本映射到高维连续空间的数值表示,使得语义相近的文本在向量空间中距离更近。余弦相似度是衡量两个嵌入向量方向一致性的指标,取值范围在负一到一之间,值越接近一表示语义越相似。在RAG系统中,检索器通过计算查询与知识库文档的余弦相似度来确定返回哪些文档。攻击者通过优化查询嵌入,使其与目标敏感文档在嵌入空间中更接近,从而提高检索成功概率。

嵌入空间和相似度计算是RAG检索阶段的核心技术,也是知识提取攻击利用的关键攻击面,理解其机制对于分析攻击效果和防御机制至关重要。

研究动机

检索增强生成系统已成为企业聊天机器人、医疗助手和代理记忆管理等知识密集型应用的核心技术,但研究表明知识提取攻击可以通过恶意构造的查询恢复知识库中的敏感内容,引发严重的知识产权和隐私问题。具体场景包括:医疗对话系统中攻击者可提取患者的私人健康信息,企业邮件系统中攻击者可窃取内部通信记录,版权内容库中攻击者可获取受版权保护的文本。这些攻击在高风险领域如个人医疗保健、专有金融交易中的部署带来了严重的社会危害。

本文的目标是本文的具体目标是建立首个针对RAG系统知识提取攻击的系统性基准测试,解决现有研究分散在不同实验设置下的问题。基准需要涵盖广泛的攻击和防御策略、代表性的检索嵌入模型、开源和闭源生成器、基于图的索引方法,在统一的实验框架下使用标准化协议跨多个数据集进行评估,从而为开发隐私保护的RAG系统提供可操作的见解和实践基础。

与已有工作不同的是,本文的独特切入角度在于首次系统性梳理和统一了知识提取攻击与防御的设计空间。现有研究分散且不一致,差异跨越数据集版本、检索嵌入模型、生成器、知识库构建策略、攻击者和防御者能力假设以及非统一的评估指标。本文通过建立统一的设计空间和标准化评估协议,填补了这一研究空白,实现了公平、可复现的评估。

核心方法

方法整体思路是构建一个涵盖RAG架构、攻击策略、防御机制和评估协议的统一基准测试框架。首先,系统梳理现有工作,建立包含检索器、生成器、知识库、攻击查询设计、防御策略和评估协议六维度的设计空间。然后,实现六种代表性攻击基线和四种防御机制,在四个数据集上使用三种检索嵌入模型和四种生成器进行系统性评估。评估协议将提取性能分解为检索、生成和组合三个层次,通过多指标分析揭示攻击在不同阶段的强弱点。

核心创新点在于建立了首个统一、全面的RAG知识提取攻击与防御基准测试框架。与已有工作相比,本文的独特之处在于:首先建立了统一的设计空间,系统梳理了攻击和防御的设计维度和假设;其次提出了层次化的评估协议,将提取性能分解为检索提取有效性、生成提取有效性和组合提取有效性以及攻击成功率;最后实现了跨数据集、跨模型、跨语言的大规模实验,提供了可复现的基准测试管道和可操作的见解。

方法步骤详情

方法步骤的完整描述如下:第一步,建立设计空间,包括RAG架构、攻击策略、防御机制和评估协议;第二步,实现六种攻击基线:随机令牌拼接、随机嵌入、随机文本、动态贪婪嵌入攻击、交替探索与利用、隐式知识提取攻击;第三步,实现四种防御机制:基于意图分类的查询阻断、相似度阈值过滤、摘要化、系统级内容阻断;第四步,在四个数据集上使用三种检索模型和四种生成器进行评估,记录检索提取有效性、生成提取有效性、组合提取有效性和攻击成功率等指标;第五步,进行跨模型、跨索引、跨语言、查询多样性等深入分析。

技术新颖性

技术新颖性体现在多个方面:首先首次提出了层次化的评估协议,通过特定公式量化检索阶段提取、生成阶段提取、端到端提取和攻击成功率;其次首次系统评估了不同知识索引策略对攻击效果的影响,提出了token归一化的评估指标以实现跨索引的公平比较;最后首次提出了查询查询多样性优化,通过显式优化和隐式过滤提高攻击的有效性。

(a) Design Space of Knowledge Extraction Attack and Defense Benchmark in RAG systems. (b) Constructing the final generator prompt from system and user messages.
Figure 2: (a) Design Space of Knowledge Extraction Attack and Defense Benchmark in RAG systems. (b) Constructing the final generator prompt from system and user messages.

实验结果

核心发现包括:首先在无防御设置下,动态贪婪嵌入攻击在检索提取有效性上表现最佳,平均达到百分之六十点九,这是因为该方法显式优化了查询块多样性以广泛探索知识库;其次是随机嵌入达到百分之五十六点九,隐式知识提取攻击达到百分之二十四点五,交替探索与利用达到百分之二十六点五。其次在生成提取有效性方面,使用显式指令的攻击表现最佳,而隐式知识提取攻击避免显式指令,生成提取有效性较低但更隐蔽。第三防御分析显示,查询阻断对依赖显式指令的攻击特别有效,阈值防御提供最强的检索阶段保护,摘要和系统阻断在生成阶段最有效。第四跨模型分析表明,动态贪婪嵌入攻击仅当攻击者和检索器共享相同嵌入模型时表现良好,而隐式知识提取攻击和交替探索与利用在不同模型间保持较好迁移性。第五知识索引分析显示,图三元组索引显著提高提取有效性,而固定文本块索引效果最差。第六查询多样性优化平均提升检索提取有效性约五个到十个百分点。第七跨语言评估在中文和越南语医疗数据集上验证了英文基准发现的鲁棒性。第八攻击成本分析显示,基于优化的攻击不依赖大语言模型且时间复杂度较低,基于大语言模型的攻击token消耗较高。

Experimental setting comparison across existing knowledge extraction attacks.
Table 1: Experimental setting comparison across existing knowledge extraction attacks.
Retrieval extraction performance with Query-Query diversity optimization under None/Threshold defenses.
Table 2: Retrieval extraction performance with Query-Query diversity optimization under None/Threshold defenses.
Cross-lingual evaluation of EER and EEGLS on Med_Chinese and Med_Vietnamese datasets.
Table 3: Cross-lingual evaluation of EER and EEGLS on Med_Chinese and Med_Vietnamese datasets.
SAGE defense cost analysis per dataset, total token consumption, estimated cost, and processing time.
Table 4: SAGE defense cost analysis per dataset, total token consumption, estimated cost, and processing time.
Comparison of six knowledge-extraction attacks under four defenses across five metrics.
Figure 3: Comparison of six knowledge-extraction attacks under four defenses across five metrics.
Effects of different retriever and attacker embedding models on Enron.
Figure 4: Effects of different retriever and attacker embedding models on Enron.
Impacts of (Left) Open/Close-Source LLM generators; (Right) Attack commands.
Figure 6: Impacts of (Left) Open/Close-Source LLM generators; (Right) Attack commands.
Comparing Knowledge Extraction Attacks on Knowledge Base indexed by Instances, Chunks, and Triplets on HealthCareMagic (Left) and Enron (Right) Datasets.
Figure 7: Comparing Knowledge Extraction Attacks on Knowledge Base indexed by Instances, Chunks, and Triplets on HealthCareMagic (Left) and Enron (Right) Datasets.
Token and time cost comparison on HarryPotter dataset across different attack methods.
Figure 8: Token and time cost comparison on HarryPotter dataset across different attack methods.
Average EEGSS across HarryPotter and Pokémon for all defenses across all attacks.
Figure 9: Average EEGSS across HarryPotter and Pokémon for all defenses across all attacks.
查看结构化数据
任务指标本文基线提升
检索提取有效性 检索提取有效性 动态贪婪嵌入攻击百分之六十点九,随机嵌入百分之五十六点九,隐式知识提取攻击百分之二十四点五,交替探索与利用百分之二十六点五 无防御基线 动态贪婪嵌入攻击相比随机嵌入提升约百分之七,相比隐式知识提取攻击提升约三十六点四个百分点
生成提取有效性 生成提取有效性 摘要防御下所有攻击平均降低至接近零,阈值防御下动态贪婪嵌入攻击降至百分之二十四 无防御下显式指令攻击生成提取有效性较高 摘要防御降低生成提取有效性超过百分之九十
跨模型迁移性 检索提取有效性 隐式知识提取攻击和交替探索与利用在对角和非对角设置下检索提取有效性差异小于百分之五 动态贪婪嵌入攻击在非对角设置下检索提取有效性下降超过百分之五十 隐式知识提取攻击和交替探索与利用跨模型稳定性更好
跨语言泛化性 检索提取有效性 中文数据集动态贪婪嵌入攻击检索提取有效性百分之六十点七一,越南语数据集动态贪婪嵌入攻击检索提取有效性百分之百 英语数据集趋势一致 验证了基准的语言无关性

局限与改进

局限性分析包括作者承认的和我自己观察的:作者承认现有防御机制在各自阶段有互补优势但没有单一防御提供完全保护;阈值防御在保护检索增强生成实用性方面存在根本性安全效用权衡,阈值从零点三提高到零点七时召回率显著下降;重写型防御计算开销巨大,医疗数据集需要重写约八亿五千六百万个tokens,成本约二百一十七美元,企业邮件数据集需要重写约二百二十亿个tokens,成本约六千零九十七美元,处理时间超过十天。我自己观察的局限性包括:评估主要关注文本提取,未考虑多媒体知识库;攻击预算固定为两百轮查询,未评估不同预算下的性能;评估基于离线攻击场景,未考虑实时攻击的约束;防御评估主要集中在单防御机制,未评估防御组合的协同效应;基准未涵盖最新的攻击技术如基于强化学习人类反馈和指令微调的攻击。

独立分析的弱点

独立分析的弱点包括:动态贪婪嵌入攻击对嵌入模型迁移性差,仅当攻击者和检索器共享相同嵌入模型时表现良好,这限制了在黑盒场景下的实用性,改进方向是开发嵌入模型无关的攻击策略;查询查询多样性不足导致冗余探索,现有攻击主要推动新查询远离已提取的块,但忽略查询之间的冗余,改进方向是引入查询级多样性优化;知识索引策略影响攻击效果但现有工作未充分利用,图三元组索引显著提高提取有效性但攻击设计未针对不同索引策略优化,改进方向是设计索引感知的攻击策略;跨语言攻击评估有限,仅测试中文和越南语医疗数据集,改进方向是扩展到更多语言对和领域;攻击成本高,基于大语言模型的攻击token消耗高,基于优化的攻击时间复杂度较高,改进方向是设计更高效的攻击算法;防御权衡问题,阈值防御在安全性和实用性之间难以平衡,改进方向是设计自适应阈值策略。

未来方向

未来研究方向包括作者提出的和基于成果可延伸的:作者提出包括多级多样性优化、多阶段防御协调、将基准扩展到代理式检索增强生成架构。基于成果可延伸的方向包括:首先探索动态攻击防御博弈,设计能够自适应调整策略的攻击者和防御者;其次研究组合防御机制,探索不同防御在检索、生成、输入三阶段的协同效应;第三扩展到多模态知识库,评估图像、表格等多媒体内容的提取攻击风险;第四研究实时攻击场景,考虑时间约束和查询预算限制;第五开发更高效的攻击算法,降低计算成本和token消耗;第六设计自适应防御策略,平衡安全性和实用性;第七探索联邦学习和分布式检索增强生成系统中的知识提取风险;第八研究知识库加密和差分隐私技术在检索增强生成系统中的应用;第九开发自动化攻击检测和响应机制;第十建立检索增强生成安全标准和合规框架。

复现评估

复现评估:作者承诺开源代码和数据集,但论文提交时未提供具体的代码仓库链接。数据集使用公开可用的医疗问答、企业邮件、版权文本、百科内容等数据集,分别包含约十一万两千实例、五十一万七千实例、两万六千实例、一千三百实例。实验使用三种检索嵌入模型和四种生成器。攻击预算固定为两百轮查询。评估需要图形处理器资源运行大语言模型和嵌入模型,预计单次实验成本约十到五十美元,取决于生成器选择。复现难度中等,需要配置检索增强生成系统、实现六种攻击和四种防御、运行跨数据集跨模型的实验。作者提供了详细的算法伪代码和超参数设置,有利于复现。但重写型防御的计算开销巨大,在大规模数据集上复现可能需要超过十天处理时间和数千美元成本。