会员服务
攻击 · 黑盒 · 黑盒攻击 · 对抗 · 词元 ·
2 月 4 日
"Someone Hid It": Query-Agnostic Black-Box Attacks on LLM-Based Retrieval
翻译:"有人隐藏了它":针对基于LLM检索的查询无关黑盒攻击
Jiate Li,Defu Cao,Li Li,Wei Yang,Yuehan Qin,Chenxiao Yu,Tiannuo Yang,Ryan A. Rossi,Yan Liu,Xiyang Hu,Yue Zhao
Jiate Li,Defu Cao,Li Li,Wei Yang,Yuehan Qin,Chenxiao Yu,Tiannuo Yang,Ryan A. Rossi,Yan Liu,Xiyang Hu,Yue Zhao

Large language models (LLMs) have been serving as effective backbones for retrieval systems, including Retrieval-Augmentation-Generation (RAG), Dense Information Retriever (IR), and Agent Memory Retrieval. Recent studies have demonstrated that such LLM-based Retrieval (LLMR) is vulnerable to adversarial attacks, which manipulates documents by token-level injections and enables adversaries to either boost or diminish these documents in retrieval tasks. However, existing attack studies mainly (1) presume a known query is given to the attacker, and (2) highly rely on access to the victim model's parameters or interactions, which are hardly accessible in real-world scenarios, leading to limited validity. To further explore the secure risks of LLMR, we propose a practical black-box attack method that generates transferable injection tokens based on zero-shot surrogate LLMs without need of victim queries or victim models knowledge. The effectiveness of our attack raises such a robustness issue that similar effects may arise from benign or unintended document edits in the real world. To achieve our attack, we first establish a theoretical framework of LLMR and empirically verify it. Under the framework, we simulate the transferable attack as a min-max problem, and propose an adversarial learning mechanism that finds optimal adversarial tokens with learnable query samples. Our attack is validated to be effective on benchmark datasets across popular LLM retrievers.


翻译:大型语言模型(LLM)已成为检索系统的有效骨干,包括检索增强生成(RAG)、密集信息检索(IR)和智能体记忆检索。近期研究表明,此类基于LLM的检索(LLMR)易受对抗性攻击,攻击者通过词元级注入操纵文档,从而在检索任务中提升或抑制目标文档的排名。然而,现有攻击研究主要存在两个局限:(1)预设攻击者已知特定查询;(2)高度依赖对受害者模型参数或交互记录的访问权限,这在实际场景中难以实现,导致攻击有效性受限。为深入探究LLMR的安全风险,我们提出一种实用的黑盒攻击方法,该方法基于零样本替代LLM生成可迁移的注入词元,无需受害者查询或受害者模型知识。本攻击的有效性揭示了LLMR的鲁棒性隐患——现实世界中良性或无意的文档修改可能引发类似效应。为实现攻击目标,我们首先建立LLMR的理论框架并进行实证验证。在该框架下,我们将可迁移攻击建模为极小极大优化问题,并提出一种对抗学习机制,通过可学习的查询样本寻找最优对抗词元。实验验证表明,本攻击方法在多个基准数据集上对主流LLM检索器均具有显著攻击效果。
0
下载
关闭预览

相关内容

【AAAI2026】TruthfulRAG:基于知识图谱解决检索增强生成中的事实层冲突
【AAAI2026】TruthfulRAG:基于知识图谱解决检索增强生成中的事实层冲突
专知会员服务
20+阅读 · 2025年11月15日
人机协同作战规划:来自美海军陆战队的大语言模型(LLM)使用教训
人机协同作战规划:来自美海军陆战队的大语言模型(LLM)使用教训
专知会员服务
24+阅读 · 2025年10月16日
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
9+阅读 · 2025年9月3日
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
专知会员服务
31+阅读 · 2024年9月26日
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
专知会员服务
63+阅读 · 2024年3月4日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
110+阅读 · 2023年12月19日
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
专知会员服务
49+阅读 · 2023年10月29日
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
专知会员服务
43+阅读 · 2023年8月22日
ChatGP能生成,但搜索行么? 山大百度最新《将大型语言模型作为重排序代理进行研究》
ChatGP能生成,但搜索行么? 山大百度最新《将大型语言模型作为重排序代理进行研究》
专知会员服务
35+阅读 · 2023年4月20日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测,Adversarial Multimodal RL
【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测,Adversarial Multimodal RL
专知
11+阅读 · 2020年3月17日
异常检测怎么做,试试孤立随机森林算法(附代码)
异常检测怎么做,试试孤立随机森林算法(附代码)
机器之心
16+阅读 · 2020年3月15日
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
AI前线
21+阅读 · 2019年10月28日
[Google]BERT压缩到7MB!最新基于最优子词和共享投影的极限语言压缩模型
[Google]BERT压缩到7MB!最新基于最优子词和共享投影的极限语言压缩模型
专知
31+阅读 · 2019年10月6日
独家 | 机器学习解释模型:黑盒VS白盒(附资料链接)
独家 | 机器学习解释模型:黑盒VS白盒(附资料链接)
数据派THU
16+阅读 · 2019年4月11日
百度提出ERNIE,多项中文NLP任务表现出色(已开源)
百度提出ERNIE,多项中文NLP任务表现出色(已开源)
AI100
33+阅读 · 2019年3月16日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
人工智能头条
19+阅读 · 2018年4月24日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
云计算环境中面向内容的密文检索关键技术研究
国家自然科学基金
0+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向异构数据库的查询语言设计及其基础理论研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
"Someone Hid It": Query-Agnostic Black-Box Attacks on LLM-Based Retrieval
Arxiv
0+阅读 · 2月17日
LLM-Confidence Reranker: A Training-Free Approach for Enhancing Retrieval-Augmented Generation Systems
Arxiv
0+阅读 · 2月14日
Addressing Corpus Knowledge Poisoning Attacks on RAG Using Sparse Attention
Arxiv
0+阅读 · 2月5日
Addressing Corpus Knowledge Poisoning Attacks on RAG Using Sparse Attention
Arxiv
0+阅读 · 2月4日
"Someone Hid It": Query-Agnostic Black-Box Attacks on LLM-Based Retrieval
Arxiv
0+阅读 · 1月30日
ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents
Arxiv
0+阅读 · 1月30日
DRAINCODE: Stealthy Energy Consumption Attacks on Retrieval-Augmented Code Generation via Context Poisoning
Arxiv
0+阅读 · 1月29日
DeepSieve: Information Sieving via LLM-as-a-Knowledge-Router
Arxiv
0+阅读 · 1月27日
LLM Jailbreak Detection for (Almost) Free!
Arxiv
0+阅读 · 1月23日
MIRAGE: Misleading Retrieval-Augmented Generation via Black-box and Query-agnostic Poisoning Attacks
Arxiv
0+阅读 · 1月19日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
黑盒
黑盒攻击
对抗
词元
相关VIP内容
【AAAI2026】TruthfulRAG:基于知识图谱解决检索增强生成中的事实层冲突
【AAAI2026】TruthfulRAG:基于知识图谱解决检索增强生成中的事实层冲突
专知会员服务
20+阅读 · 2025年11月15日
人机协同作战规划:来自美海军陆战队的大语言模型(LLM)使用教训
人机协同作战规划:来自美海军陆战队的大语言模型(LLM)使用教训
专知会员服务
24+阅读 · 2025年10月16日
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
9+阅读 · 2025年9月3日
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
专知会员服务
31+阅读 · 2024年9月26日
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
专知会员服务
63+阅读 · 2024年3月4日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
110+阅读 · 2023年12月19日
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
专知会员服务
49+阅读 · 2023年10月29日
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
专知会员服务
43+阅读 · 2023年8月22日
ChatGP能生成,但搜索行么? 山大百度最新《将大型语言模型作为重排序代理进行研究》
ChatGP能生成,但搜索行么? 山大百度最新《将大型语言模型作为重排序代理进行研究》
专知会员服务
35+阅读 · 2023年4月20日
热门VIP内容
相关资讯
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测,Adversarial Multimodal RL
【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测,Adversarial Multimodal RL
专知
11+阅读 · 2020年3月17日
异常检测怎么做,试试孤立随机森林算法(附代码)
异常检测怎么做,试试孤立随机森林算法(附代码)
机器之心
16+阅读 · 2020年3月15日
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
AI前线
21+阅读 · 2019年10月28日
[Google]BERT压缩到7MB!最新基于最优子词和共享投影的极限语言压缩模型
[Google]BERT压缩到7MB!最新基于最优子词和共享投影的极限语言压缩模型
专知
31+阅读 · 2019年10月6日
独家 | 机器学习解释模型:黑盒VS白盒(附资料链接)
独家 | 机器学习解释模型:黑盒VS白盒(附资料链接)
数据派THU
16+阅读 · 2019年4月11日
百度提出ERNIE,多项中文NLP任务表现出色(已开源)
百度提出ERNIE,多项中文NLP任务表现出色(已开源)
AI100
33+阅读 · 2019年3月16日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
人工智能头条
19+阅读 · 2018年4月24日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
相关论文
"Someone Hid It": Query-Agnostic Black-Box Attacks on LLM-Based Retrieval
Arxiv
0+阅读 · 2月17日
LLM-Confidence Reranker: A Training-Free Approach for Enhancing Retrieval-Augmented Generation Systems
Arxiv
0+阅读 · 2月14日
Addressing Corpus Knowledge Poisoning Attacks on RAG Using Sparse Attention
Arxiv
0+阅读 · 2月5日
Addressing Corpus Knowledge Poisoning Attacks on RAG Using Sparse Attention
Arxiv
0+阅读 · 2月4日
"Someone Hid It": Query-Agnostic Black-Box Attacks on LLM-Based Retrieval
Arxiv
0+阅读 · 1月30日
ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents
Arxiv
0+阅读 · 1月30日
DRAINCODE: Stealthy Energy Consumption Attacks on Retrieval-Augmented Code Generation via Context Poisoning
Arxiv
0+阅读 · 1月29日
DeepSieve: Information Sieving via LLM-as-a-Knowledge-Router
Arxiv
0+阅读 · 1月27日
LLM Jailbreak Detection for (Almost) Free!
Arxiv
0+阅读 · 1月23日
MIRAGE: Misleading Retrieval-Augmented Generation via Black-box and Query-agnostic Poisoning Attacks
Arxiv
0+阅读 · 1月19日
相关基金
云计算环境中面向内容的密文检索关键技术研究
国家自然科学基金
0+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向异构数据库的查询语言设计及其基础理论研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top