会员服务
攻击 · 黑盒 · 系统 · 问答 · 自动问答 ·
1 月 11 日
RIPRAG: Hack a Black-box Retrieval-Augmented Generation Question-Answering System with Reinforcement Learning
翻译:RIPRAG:利用强化学习攻击黑盒检索增强生成问答系统
Meng Xi,Sihan Lv,Yechen Jin,Guanjie Cheng,Naibo Wang,Ying Li,Jianwei Yin
Meng Xi,Sihan Lv,Yechen Jin,Guanjie Cheng,Naibo Wang,Ying Li,Jianwei Yin

Retrieval-Augmented Generation (RAG) systems based on Large Language Models (LLMs) have become a core technology for tasks such as question-answering (QA) and content generation. RAG poisoning is an attack method to induce LLMs to generate the attacker's expected text by injecting poisoned documents into the database of RAG systems. Existing research can be broadly divided into two classes: white-box methods and black-box methods. White-box methods utilize gradient information to optimize poisoned documents, and black-box methods use a pre-trained LLM to generate them. However, existing white-box methods require knowledge of the RAG system's internal composition and implementation details, whereas black-box methods are unable to utilize interactive information. In this work, we propose the RIPRAG attack framework, an end-to-end attack pipeline that treats the target RAG system as a black box and leverages our proposed Reinforcement Learning from Black-box Feedback (RLBF) method to optimize the generation model for poisoned documents. We designed two kinds of rewards: similarity reward and attack reward. Experimental results demonstrate that this method can effectively execute poisoning attacks against most complex RAG systems, achieving an attack success rate (ASR) improvement of up to 0.72 compared to baseline methods. This highlights prevalent deficiencies in current defensive methods and provides critical insights for LLM security research.


翻译:基于大语言模型(LLM)的检索增强生成(RAG)系统已成为问答(QA)和内容生成等任务的核心技术。RAG投毒是一种通过向RAG系统数据库中注入投毒文档,诱导LLM生成攻击者预期文本的攻击方法。现有研究大致可分为两类:白盒方法与黑盒方法。白盒方法利用梯度信息优化投毒文档,而黑盒方法则使用预训练的LLM生成投毒文档。然而,现有白盒方法需要了解RAG系统的内部构成与实现细节,而黑盒方法则无法利用交互信息。在本工作中,我们提出了RIPRAG攻击框架,这是一种端到端的攻击流程,将目标RAG系统视为黑盒,并利用我们提出的基于黑盒反馈的强化学习(RLBF)方法来优化投毒文档的生成模型。我们设计了两类奖励:相似性奖励和攻击奖励。实验结果表明,该方法能有效对大多数复杂的RAG系统执行投毒攻击,相比基线方法,攻击成功率(ASR)最高可提升0.72。这揭示了当前防御方法中普遍存在的缺陷,并为LLM安全研究提供了重要启示。
0
下载
关闭预览

相关内容

【AAAI2026】TruthfulRAG:基于知识图谱解决检索增强生成中的事实层冲突
【AAAI2026】TruthfulRAG:基于知识图谱解决检索增强生成中的事实层冲突
专知会员服务
21+阅读 · 2025年11月15日
检索增强生成(RAG)技术,261页slides
检索增强生成(RAG)技术,261页slides
专知会员服务
42+阅读 · 2025年10月16日
【新书】Essential GraphRAG: 知识图谱增强的RAG
【新书】Essential GraphRAG: 知识图谱增强的RAG
专知会员服务
33+阅读 · 2025年7月17日
【SIGIR2025教程】动态与参数化检索增强生成
【SIGIR2025教程】动态与参数化检索增强生成
专知会员服务
17+阅读 · 2025年7月14日
【新书】检索增强生成(RAG)入门指南
【新书】检索增强生成(RAG)入门指南
专知会员服务
30+阅读 · 2025年6月25日
检索增强生成(RAG)与推理的协同作用:一项系统综述
检索增强生成(RAG)与推理的协同作用:一项系统综述
专知会员服务
34+阅读 · 2025年4月27日
图增强生成(GraphRAG)
图增强生成(GraphRAG)
专知会员服务
35+阅读 · 2025年1月4日
【新书】解锁数据与生成型AI和RAG的结合:通过RAG将内部数据与大型语言模型集成,提升生成型AI系统的能力
【新书】解锁数据与生成型AI和RAG的结合:通过RAG将内部数据与大型语言模型集成,提升生成型AI系统的能力
专知会员服务
49+阅读 · 2024年12月17日
图怎么用RAG?北大等最新《图检索增强生成(GraphRAG)》综述
图怎么用RAG?北大等最新《图检索增强生成(GraphRAG)》综述
专知会员服务
55+阅读 · 2024年8月22日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
完整版!《GAN实战:生成对抗网络深度学习》在线书与代码,牛津大学Jakub著作 (附下载)
完整版!《GAN实战:生成对抗网络深度学习》在线书与代码,牛津大学Jakub著作 (附下载)
专知
26+阅读 · 2019年12月25日
如何搭建一个基于知识图谱的问答系统(以医疗行业为例)
如何搭建一个基于知识图谱的问答系统(以医疗行业为例)
PaperWeekly
51+阅读 · 2019年11月17日
【GAN新书】《GAN实战:生成对抗网络深度学习》牛津大学Jakub著作(附下载)
【GAN新书】《GAN实战:生成对抗网络深度学习》牛津大学Jakub著作(附下载)
专知
55+阅读 · 2019年4月7日
强化学习与文本生成
强化学习与文本生成
微信AI
41+阅读 · 2019年4月4日
【干货|如何打开黑盒子模型?】41页最新机器学习可解释模型综述论文,143篇参考文献,2300次下载
【干货|如何打开黑盒子模型?】41页最新机器学习可解释模型综述论文,143篇参考文献,2300次下载
专知
25+阅读 · 2018年11月25日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
深度强化学习首次在无监督视频摘要生成问题中的应用:实现state-of-the-art效果
深度强化学习首次在无监督视频摘要生成问题中的应用:实现state-of-the-art效果
专知
26+阅读 · 2018年1月21日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
【干货】强化学习在生成对抗网络文本生成中扮演的角色(下)
【干货】强化学习在生成对抗网络文本生成中扮演的角色(下)
GAN生成式对抗网络
11+阅读 · 2017年11月2日
【强化学习】强化学习+深度学习=人工智能
【强化学习】强化学习+深度学习=人工智能
产业智能官
55+阅读 · 2017年8月11日
RACK7选择性结合活跃增强子的分子机制及生物学意义的研究
国家自然科学基金
0+阅读 · 2016年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
几类密码方案的格分析优化技术
国家自然科学基金
1+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于高维流形计算的混沌密码攻击方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
超分辨率中的矩阵值算子学习问题
国家自然科学基金
1+阅读 · 2014年12月31日
海量Web用户生成内容物化关键技术
国家自然科学基金
2+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Addressing Corpus Knowledge Poisoning Attacks on RAG Using Sparse Attention
Arxiv
0+阅读 · 2月5日
Addressing Corpus Knowledge Poisoning Attacks on RAG Using Sparse Attention
Arxiv
0+阅读 · 2月4日
RAG-E: Quantifying Retriever-Generator Alignment and Failure Modes
Arxiv
0+阅读 · 1月29日
CtrlRAG: Black-box Document Poisoning Attacks for Retrieval-Augmented Generation of Large Language Models
Arxiv
0+阅读 · 1月26日
Connect the Dots: Knowledge Graph-Guided Crawler Attack on Retrieval-Augmented Generation Systems
Arxiv
0+阅读 · 1月22日
RAGExplorer: A Visual Analytics System for the Comparative Diagnosis of RAG Systems
Arxiv
0+阅读 · 1月19日
MIRAGE: Misleading Retrieval-Augmented Generation via Black-box and Query-agnostic Poisoning Attacks
Arxiv
0+阅读 · 1月19日
Credible Plan-Driven RAG Method for Multi-Hop Question Answering
Arxiv
0+阅读 · 1月12日
NeuroGenPoisoning: Neuron-Guided Attacks on Retrieval-Augmented Generation of LLM via Genetic Optimization of External Knowledge
Arxiv
0+阅读 · 1月11日
Practical Poisoning Attacks against Retrieval-Augmented Generation
Arxiv
0+阅读 · 1月8日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
黑盒
系统
问答
自动问答
相关VIP内容
【AAAI2026】TruthfulRAG:基于知识图谱解决检索增强生成中的事实层冲突
【AAAI2026】TruthfulRAG:基于知识图谱解决检索增强生成中的事实层冲突
专知会员服务
21+阅读 · 2025年11月15日
检索增强生成(RAG)技术,261页slides
检索增强生成(RAG)技术,261页slides
专知会员服务
42+阅读 · 2025年10月16日
【新书】Essential GraphRAG: 知识图谱增强的RAG
【新书】Essential GraphRAG: 知识图谱增强的RAG
专知会员服务
33+阅读 · 2025年7月17日
【SIGIR2025教程】动态与参数化检索增强生成
【SIGIR2025教程】动态与参数化检索增强生成
专知会员服务
17+阅读 · 2025年7月14日
【新书】检索增强生成(RAG)入门指南
【新书】检索增强生成(RAG)入门指南
专知会员服务
30+阅读 · 2025年6月25日
检索增强生成(RAG)与推理的协同作用:一项系统综述
检索增强生成(RAG)与推理的协同作用:一项系统综述
专知会员服务
34+阅读 · 2025年4月27日
图增强生成(GraphRAG)
图增强生成(GraphRAG)
专知会员服务
35+阅读 · 2025年1月4日
【新书】解锁数据与生成型AI和RAG的结合:通过RAG将内部数据与大型语言模型集成,提升生成型AI系统的能力
【新书】解锁数据与生成型AI和RAG的结合:通过RAG将内部数据与大型语言模型集成,提升生成型AI系统的能力
专知会员服务
49+阅读 · 2024年12月17日
图怎么用RAG?北大等最新《图检索增强生成(GraphRAG)》综述
图怎么用RAG?北大等最新《图检索增强生成(GraphRAG)》综述
专知会员服务
55+阅读 · 2024年8月22日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
热门VIP内容
相关资讯
完整版!《GAN实战:生成对抗网络深度学习》在线书与代码,牛津大学Jakub著作 (附下载)
完整版!《GAN实战:生成对抗网络深度学习》在线书与代码,牛津大学Jakub著作 (附下载)
专知
26+阅读 · 2019年12月25日
如何搭建一个基于知识图谱的问答系统(以医疗行业为例)
如何搭建一个基于知识图谱的问答系统(以医疗行业为例)
PaperWeekly
51+阅读 · 2019年11月17日
【GAN新书】《GAN实战:生成对抗网络深度学习》牛津大学Jakub著作(附下载)
【GAN新书】《GAN实战:生成对抗网络深度学习》牛津大学Jakub著作(附下载)
专知
55+阅读 · 2019年4月7日
强化学习与文本生成
强化学习与文本生成
微信AI
41+阅读 · 2019年4月4日
【干货|如何打开黑盒子模型?】41页最新机器学习可解释模型综述论文,143篇参考文献,2300次下载
【干货|如何打开黑盒子模型?】41页最新机器学习可解释模型综述论文,143篇参考文献,2300次下载
专知
25+阅读 · 2018年11月25日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
深度强化学习首次在无监督视频摘要生成问题中的应用:实现state-of-the-art效果
深度强化学习首次在无监督视频摘要生成问题中的应用:实现state-of-the-art效果
专知
26+阅读 · 2018年1月21日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
【干货】强化学习在生成对抗网络文本生成中扮演的角色(下)
【干货】强化学习在生成对抗网络文本生成中扮演的角色(下)
GAN生成式对抗网络
11+阅读 · 2017年11月2日
【强化学习】强化学习+深度学习=人工智能
【强化学习】强化学习+深度学习=人工智能
产业智能官
55+阅读 · 2017年8月11日
相关论文
Addressing Corpus Knowledge Poisoning Attacks on RAG Using Sparse Attention
Arxiv
0+阅读 · 2月5日
Addressing Corpus Knowledge Poisoning Attacks on RAG Using Sparse Attention
Arxiv
0+阅读 · 2月4日
RAG-E: Quantifying Retriever-Generator Alignment and Failure Modes
Arxiv
0+阅读 · 1月29日
CtrlRAG: Black-box Document Poisoning Attacks for Retrieval-Augmented Generation of Large Language Models
Arxiv
0+阅读 · 1月26日
Connect the Dots: Knowledge Graph-Guided Crawler Attack on Retrieval-Augmented Generation Systems
Arxiv
0+阅读 · 1月22日
RAGExplorer: A Visual Analytics System for the Comparative Diagnosis of RAG Systems
Arxiv
0+阅读 · 1月19日
MIRAGE: Misleading Retrieval-Augmented Generation via Black-box and Query-agnostic Poisoning Attacks
Arxiv
0+阅读 · 1月19日
Credible Plan-Driven RAG Method for Multi-Hop Question Answering
Arxiv
0+阅读 · 1月12日
NeuroGenPoisoning: Neuron-Guided Attacks on Retrieval-Augmented Generation of LLM via Genetic Optimization of External Knowledge
Arxiv
0+阅读 · 1月11日
Practical Poisoning Attacks against Retrieval-Augmented Generation
Arxiv
0+阅读 · 1月8日
相关基金
RACK7选择性结合活跃增强子的分子机制及生物学意义的研究
国家自然科学基金
0+阅读 · 2016年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
几类密码方案的格分析优化技术
国家自然科学基金
1+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于高维流形计算的混沌密码攻击方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
超分辨率中的矩阵值算子学习问题
国家自然科学基金
1+阅读 · 2014年12月31日
海量Web用户生成内容物化关键技术
国家自然科学基金
2+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top