論文の概要: Semantic Chameleon: Corpus-Dependent Poisoning Attacks and Defenses in RAG Systems
- arxiv url: http://arxiv.org/abs/2603.18034v1
- Date: Tue, 10 Mar 2026 23:15:13 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-03-20 17:19:05.700364
- Title: Semantic Chameleon: Corpus-Dependent Poisoning Attacks and Defenses in RAG Systems
- Title(参考訳): セマンティック・シャメレオン:RAGシステムにおけるコーパス依存の攻撃と防御
- Authors: Scott Thornton,
- Abstract要約: Retrieval-Augmented Generation (RAG) システムは、大きな言語モデルを外部知識ソースで拡張する。
特に、敵は、悪意のある文書が推論時に優先的に検索されるように、毒検索コーパスを付与することができる。
本研究では,最近のRAGパイプラインに対するグラデーション誘導コーパス中毒攻撃について検討し,検索層防御の評価を行った。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Retrieval-Augmented Generation (RAG) systems extend large language models (LLMs) with external knowledge sources but introduce new attack surfaces through the retrieval pipeline. In particular, adversaries can poison retrieval corpora so that malicious documents are preferentially retrieved at inference time, enabling targeted manipulation of model outputs. We study gradient-guided corpus poisoning attacks against modern RAG pipelines and evaluate retrieval-layer defenses that require no modification to the underlying LLM. We implement dual-document poisoning attacks consisting of a sleeper document and a trigger document optimized using Greedy Coordinate Gradient (GCG). In a large-scale evaluation on the Security Stack Exchange corpus (67,941 documents) with 50 attack attempts, gradient-guided poisoning achieves a 38.0 percent co-retrieval rate under pure vector retrieval. We show that a simple architectural modification, hybrid retrieval combining BM25 and vector similarity, substantially mitigates this attack. Across all 50 attacks, hybrid retrieval reduces gradient-guided attack success from 38 percent to 0 percent without modifying the model or retraining the retriever. When attackers jointly optimize payloads for both sparse and dense retrieval signals, hybrid retrieval can be partially circumvented, achieving 20-44 percent success, but still significantly raises attack difficulty relative to vector-only retrieval. Evaluation across five LLM families (GPT-5.3, GPT-4o, Claude Sonnet 4.6, Llama 4, and GPT-4o-mini) shows attack success ranging from 46.7 percent to 93.3 percent. Cross-corpus evaluation on the FEVER Wikipedia dataset (25 attacks) yields 0 percent attack success across all retrieval configurations.
- Abstract(参考訳): Retrieval-Augmented Generation (RAG) システムは、外部の知識ソースで大きな言語モデル(LLM)を拡張するが、検索パイプラインを通じて新たな攻撃面を導入する。
特に、敵は、悪意のある文書が推論時に優先的に検索されるように検索コーパスを中毒し、モデル出力のターゲット操作を可能にする。
本研究では,最近のRAGパイプラインに対するグラデーション誘導コーパス中毒攻撃について検討し,基礎となるLLMの変更を必要としない検索層防御の評価を行った。
We implement dual-document poisoning attack with a sleeper document and a trigger document optimized using Greedy Coordinate Gradient (GCG)。
セキュリティスタック交換コーパス(67,941文書)の大規模評価において、50回の攻撃を試みると、勾配誘導毒殺は純ベクトル検索の下で38.0%の共検索率を達成する。
BM25とベクトル類似性を組み合わせた単純なアーキテクチャ変更によるハイブリッド検索は,この攻撃を著しく軽減することを示す。
50回の攻撃で、ハイブリッド検索は、モデルを変更したりリトライしたりすることなく、勾配誘導攻撃の成功を38%から0パーセントに下げる。
攻撃者が疎密な検索信号と密集した検索信号の両方のペイロードを共同で最適化する場合、ハイブリッド検索は部分的に回避でき、20~44%の成功を達成できるが、ベクトルのみの検索と比較して攻撃難度は著しく上昇する。
5つのLLMファミリー(GPT-5.3、GPT-4o、Claude Sonnet 4.6、Llama 4、GPT-4o-mini)での評価では、攻撃成功率は46.7%から93.3%である。
FEVER Wikipediaデータセット(25の攻撃)のクロスコーパス評価は、すべての検索設定で0パーセントの攻撃成功をもたらす。
関連論文リスト
- RAGPart & RAGMask: Retrieval-Stage Defenses Against Corpus Poisoning in Retrieval-Augmented Generation [43.85099769473328]
Retrieval-Augmented Generation (RAG)は、大規模言語モデルを強化するための有望なパラダイムとして登場した。
近年の研究では、悪意のある文書を検索コーパスに注入し、モデル出力を操作できるRAGパイプラインコーパス中毒の致命的な脆弱性が明らかにされている。
本稿では、RAGPartとRAGMaskの2つの相補的な検索ステージディフェンスを提案する。
論文 参考訳(メタデータ) (2025-12-30T14:43:57Z) - Rescuing the Unpoisoned: Efficient Defense against Knowledge Corruption Attacks on RAG Systems [11.812488957698038]
大規模言語モデル(LLM)は私たちの日常生活の多くの側面を変え、Webベースのサービスとして広く採用されています。
検索・拡張生成(RAG)は,外部知識ソースに根ざした応答を生成することによって,将来性のある方向として登場した。
近年の研究では、誤情報注入による知識腐敗攻撃など、RAGの脆弱性が実証されている。
本稿では,知識汚職に対する資源効率のよい防御機構であるRAGDefenderを紹介する。
論文 参考訳(メタデータ) (2025-11-03T06:39:58Z) - Joint-GCG: Unified Gradient-Based Poisoning Attacks on Retrieval-Augmented Generation Systems [11.300387488829035]
Retrieval-Augmented Generation (RAG) システムは、応答を生成する前に、外部コーパスから関連文書を取得することで、Large Language Models (LLM) を強化する。
既存の毒殺攻撃戦略は、検索と生成段階を非結合として扱い、その効果を制限している。
Joint-GCGは、レトリバーモデルとジェネレータモデルの両方にわたる勾配ベースの攻撃を統合する最初のフレームワークである。
論文 参考訳(メタデータ) (2025-06-06T15:12:06Z) - CPA-RAG:Covert Poisoning Attacks on Retrieval-Augmented Generation in Large Language Models [15.349703228157479]
Retrieval-Augmented Generation (RAG)は、外部知識を取り入れた大規模言語モデル(LLM)を強化する。
既存のRAGシステムに対する中毒法には、一般化の欠如や、敵のテキストにおける流布の欠如など、制限がある。
CPA-RAGは,検索プロセスを操作することで,対象の回答を誘導するクエリ関連テキストを生成するブラックボックスの対向フレームワークである。
論文 参考訳(メタデータ) (2025-05-26T11:48:32Z) - Document Screenshot Retrievers are Vulnerable to Pixel Poisoning Attacks [72.4498910775871]
ヴィジュアル言語モデル(VLM)ベースのレトリバーは、ベクターとして埋め込まれた文書のスクリーンショットを活用して、効率的な検索を可能にし、従来のテキストのみの手法よりも単純化されたパイプラインを提供する。
本研究では,VLMをベースとしたレトリバーを危険にさらすために,3つのピクセル中毒攻撃手法を提案する。
論文 参考訳(メタデータ) (2025-01-28T12:40:37Z) - Corpus Poisoning via Approximate Greedy Gradient Descent [48.5847914481222]
本稿では,HotFlip法をベースとした高密度検索システムに対する新たな攻撃手法として,近似グレディ・グラディエント・Descentを提案する。
提案手法は,複数のデータセットと複数のレトリバーを用いて高い攻撃成功率を達成し,未知のクエリや新しいドメインに一般化可能であることを示す。
論文 参考訳(メタデータ) (2024-06-07T17:02:35Z) - Improved Generation of Adversarial Examples Against Safety-aligned LLMs [72.38072942860309]
勾配に基づく手法を用いて生成した敵対的プロンプトは、安全対応のLDMに対して自動ジェイルブレイク攻撃を行う際、優れた性能を示す。
本稿では,この問題に対する新たな視点を探求し,トランスファーベースの攻撃にインスパイアされたイノベーションを活用することで緩和できることを示唆する。
この組み合わせによって生成されたクエリ固有逆接接尾辞の87%がLlama-2-7B-Chatを誘導し、AdvBench上のターゲット文字列と正確に一致する出力を生成することを示した。
論文 参考訳(メタデータ) (2024-05-28T06:10:12Z) - Poisoning Retrieval Corpora by Injecting Adversarial Passages [79.14287273842878]
本稿では,悪意のあるユーザが少数の逆行を発生させるような,高密度検索システムに対する新たな攻撃を提案する。
これらの逆行路を大規模な検索コーパスに挿入すると、この攻撃はこれらのシステムを騙すのに非常に効果的であることを示す。
また、教師なしと教師なしの両方の最先端の高密度レトリバーをベンチマークし、比較する。
論文 参考訳(メタデータ) (2023-10-29T21:13:31Z) - Guidance Through Surrogate: Towards a Generic Diagnostic Attack [101.36906370355435]
我々は、攻撃最適化中に局所最小限を避けるための誘導機構を開発し、G-PGAと呼ばれる新たな攻撃に繋がる。
修正された攻撃では、ランダムに再起動したり、多数の攻撃を繰り返したり、最適なステップサイズを検索したりする必要がありません。
効果的な攻撃以上に、G-PGAは敵防御における勾配マスキングによる解離性堅牢性を明らかにするための診断ツールとして用いられる。
論文 参考訳(メタデータ) (2022-12-30T18:45:23Z) - Unified Detection of Digital and Physical Face Attacks [61.6674266994173]
顔攻撃に対する最先端の防御メカニズムは、敵対的、デジタル操作、または物理的な偽装の3つの攻撃カテゴリのうちの1つでほぼ完璧な精度を達成します。
この3つのカテゴリに属する25のコヒーレントな攻撃タイプを自動的にクラスタリングできる統合攻撃検出フレームワーク(UniFAD)を提案する。
論文 参考訳(メタデータ) (2021-04-05T21:08:28Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。