論文の概要: RAGShield: Provenance-Verified Defense-in-Depth Against Knowledge Base Poisoning in Government Retrieval-Augmented Generation Systems
- arxiv url: http://arxiv.org/abs/2604.00387v1
- Date: Wed, 01 Apr 2026 02:16:42 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-02 16:44:31.794389
- Title: RAGShield: Provenance-Verified Defense-in-Depth Against Knowledge Base Poisoning in Government Retrieval-Augmented Generation Systems
- Title(参考訳): RAGShield: 官能回復型世代システムにおける知識ベース中毒対策
- Authors: KrishnaSaiReddy Patil,
- Abstract要約: 市民向けサービスのために連邦政府機関に配備されるRAGシステムは、知識ベースによる毒殺攻撃に脆弱である。
近年の研究では、10個の逆行路が98.2%の検索成功率を達成することが示されている。
本稿では,RAG知識パイプラインにサプライチェーン証明を適用した5層ディフェンス・イン・ディープス・フレームワークであるRAGShieldを提案する。
- 参考スコア(独自算出の注目度): 0.0
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: RAG systems deployed across federal agencies for citizen-facing services are vulnerable to knowledge base poisoning attacks, where adversaries inject malicious documents to manipulate outputs. Recent work demonstrates that as few as 10 adversarial passages can achieve 98.2% retrieval success rates. We observe that RAG knowledge base poisoning is structurally analogous to software supply chain attacks, and propose RAGShield, a five-layer defense-in-depth framework applying supply chain provenance verification to the RAG knowledge pipeline. RAGShield introduces: (1) C2PA-inspired cryptographic document attestation blocking unsigned and forged documents at ingestion; (2) trust-weighted retrieval prioritizing provenance-verified sources; (3) a formal taint lattice with cross-source contradiction detection catching insider threats even when provenance is valid; (4) provenance-aware generation with auditable citations; and (5) NIST SP 800-53 compliance mapping across 15 control families. Evaluation on a 500-passage Natural Questions corpus with 63 attack documents and 200 queries against five adversary tiers achieves 0.0% attack success rate including adaptive attacks (95% CI: [0.0%, 1.9%]) with 0.0% false positive rate. We honestly report that insider in-place replacement attacks achieve 17.5% ASR, identifying the fundamental limit of ingestion-time defense. The cross-source contradiction detector catches subtle numerical manipulation attacks that bypass provenance verification entirely.
- Abstract(参考訳): 市民向けサービスのために連邦政府機関に展開されるRAGシステムは、敵が悪意ある文書を注入して出力を操作する、知識ベースの毒殺攻撃に脆弱である。
近年の研究では、10個の逆行路が98.2%の検索成功率を達成することが示されている。
我々は、RAG知識ベース中毒がソフトウェアサプライチェーン攻撃と構造的に類似していることを観察し、RAG知識パイプラインにサプライチェーン証明を適用する5層ディフェンス・イン・ディープス・フレームワークであるRAGShieldを提案する。
RAGShieldは,(1)C2PAにインスパイアされた暗号文書証明が,入力時に署名されていない偽文書をブロックする,(2)証明された情報源を優先した信頼度の高い検索を行う,(3)証明が有効である場合でも,インサイダー脅威を捕捉する相互ソースの矛盾を検出する公式なテント格子,(4)監査可能な引用を伴う証明認識生成,(5)NIST SP 800-53のコンプライアンスマッピングを15のコントロールファミリーで実施する,という方法を紹介した。
63の攻撃文書と200のクエリを含む500パスの自然質問コーパスの評価は、適応攻撃(95% CI: [0.0%, 1.9%])を含む攻撃成功率を0.0%、偽陽性率(0.0%)で達成する。
我々は、インサイダーインプレースでの代替攻撃が17.5%のASRを達成することを正直に報告し、摂取時の防御の基本的な限界を特定する。
クロスソース矛盾検出器は、証明を完全にバイパスする微妙な数値的な操作攻撃をキャッチする。
関連論文リスト
- Semantic Chameleon: Corpus-Dependent Poisoning Attacks and Defenses in RAG Systems [0.0]
Retrieval-Augmented Generation (RAG) システムは、大きな言語モデルを外部知識ソースで拡張する。
特に、敵は、悪意のある文書が推論時に優先的に検索されるように、毒検索コーパスを付与することができる。
本研究では,最近のRAGパイプラインに対するグラデーション誘導コーパス中毒攻撃について検討し,検索層防御の評価を行った。
論文 参考訳(メタデータ) (2026-03-10T23:15:13Z) - AI Security Beyond Core Domains: Resume Screening as a Case Study of Adversarial Vulnerabilities in Specialized LLM Applications [71.27518152526686]
大きな言語モデル(LLM)はテキストの理解と生成に優れており、コードレビューやコンテンツモデレーションといった自動タスクに最適である。
LLMは履歴書やコードなどの入力データに隠された「逆命令」で操作でき、意図したタスクから逸脱する。
本稿では,特定の攻撃タイプに対して80%以上の攻撃成功率を示すとともに,この脆弱性を再開スクリーニングで評価するためのベンチマークを提案する。
論文 参考訳(メタデータ) (2025-12-23T08:42:09Z) - Rescuing the Unpoisoned: Efficient Defense against Knowledge Corruption Attacks on RAG Systems [11.812488957698038]
大規模言語モデル(LLM)は私たちの日常生活の多くの側面を変え、Webベースのサービスとして広く採用されています。
検索・拡張生成(RAG)は,外部知識ソースに根ざした応答を生成することによって,将来性のある方向として登場した。
近年の研究では、誤情報注入による知識腐敗攻撃など、RAGの脆弱性が実証されている。
本稿では,知識汚職に対する資源効率のよい防御機構であるRAGDefenderを紹介する。
論文 参考訳(メタデータ) (2025-11-03T06:39:58Z) - ADMIT: Few-shot Knowledge Poisoning Attacks on RAG-based Fact Checking [42.283307608442946]
知識中毒はレトリーバル増強世代(RAG)システムにとって重大な脅威となる。
textbfADMIT (textbfADversarial textbfMulti-textbfInjection textbfTechnique) は、事実チェックの決定を覆す意味論的に整合した中毒攻撃である。
論文 参考訳(メタデータ) (2025-10-11T14:50:40Z) - Malice in Agentland: Down the Rabbit Hole of Backdoors in the AI Supply Chain [82.98626829232899]
自分自身のインタラクションからのデータに対する微調整のAIエージェントは、AIサプライチェーン内の重要なセキュリティ脆弱性を導入している。
敵は容易にデータ収集パイプラインに毒を盛り、検出しにくいバックドアを埋め込むことができる。
論文 参考訳(メタデータ) (2025-10-03T12:47:21Z) - One Shot Dominance: Knowledge Poisoning Attack on Retrieval-Augmented Generation Systems [28.06028279729382]
Retrieval-Augmented Generation (RAG)により強化されたLarge Language Models (LLMs) は、正確な応答を生成する際の性能改善を示す。
外部知識ベースへの依存は、潜在的なセキュリティ脆弱性をもたらす。
本稿では,RAGシステムに対するより現実的な知識中毒攻撃を明らかにし,単一の文書のみを毒殺することで攻撃を成功させる。
論文 参考訳(メタデータ) (2025-05-15T08:14:58Z) - Traceback of Poisoning Attacks to Retrieval-Augmented Generation [18.902988029537365]
研究によると、RAGの毒殺攻撃に対する感受性が明らかとなり、攻撃者は知識データベースに有毒なテキストを注入した。
既存の防衛は、主に推論時間の緩和に焦点を当てており、高度な攻撃に対して不十分であることが証明されている。
本稿では,RAGの最初のトレースバックシステムであるRAGForensicsを紹介し,攻撃に責任を持つ知識データベース内の有毒テキストを識別する。
論文 参考訳(メタデータ) (2025-04-30T14:10:02Z) - Poisoning Retrieval Corpora by Injecting Adversarial Passages [79.14287273842878]
本稿では,悪意のあるユーザが少数の逆行を発生させるような,高密度検索システムに対する新たな攻撃を提案する。
これらの逆行路を大規模な検索コーパスに挿入すると、この攻撃はこれらのシステムを騙すのに非常に効果的であることを示す。
また、教師なしと教師なしの両方の最先端の高密度レトリバーをベンチマークし、比較する。
論文 参考訳(メタデータ) (2023-10-29T21:13:31Z) - Malicious Agent Detection for Robust Multi-Agent Collaborative Perception [52.261231738242266]
多エージェント協調(MAC)知覚は、単エージェント認識よりも敵攻撃に対して脆弱である。
MAC知覚に特異的な反応防御であるMADE(Malicious Agent Detection)を提案する。
我々は、ベンチマーク3DデータセットV2X-simとリアルタイムデータセットDAIR-V2Xで包括的な評価を行う。
論文 参考訳(メタデータ) (2023-10-18T11:36:42Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。