系统:运行中
← 返回所有攻击
INDIRECT INJECTION MEDIUM NEW

劫持推理链:对智能体 RAG 的黑盒投毒

2026 年 7 月的一篇论文表明,仅能发布网络文档的攻击者即可劫持智能体 RAG 系统的多步推理,无需访问提示词、检索器或模型权重。

2026-07-06 // 5 min affects: agentic-rag, rag-agents, llm-agents, tool-calling-agents

这是什么?

传统 RAG 只做一次检索,把结果塞进提示词后作答。这一步很容易被投毒:发布一篇能在该查询下排名靠前的文档,模型就可能照搬你写下的内容。智能体 RAG 本应更难被欺骗,因为它以循环方式交替进行检索与推理——重写查询、再次检索、丢弃相关性弱的结果——因此单独一篇投毒文档往往会在过程中被过滤掉。

2026 年 7 月 1 日发布在 arXiv 上的论文 KidnapRAG: A Black-Box Attack for Hijacking Reasoning in Agentic Retrieval-Augmented Generation SystemsarXiv:2607.00422)指出,这种额外的稳健性比看上去要脆弱得多。作者表明,一个只能发布可被外部检索到的文档的攻击者——对于任何针对读取开放网络或共享语料库的系统而言,这才是现实场景——仍能操控智能体的整条推理链,而无需访问其系统提示词、推理轨迹、检索器或模型权重。

工作原理

核心思路是:不再把投毒文档看作一次性载荷,而是把它看作多轮序列中的一步,从而与智能体自身的运作方式相呼应。KidnapRAG 布置了一小组文档,它们在检索循环中扮演三种不同角色。

第一种角色是诱饵文档,其唯一任务是对用户的原始查询足够有吸引力,以便在首次检索中被拉入。第二种是连接文档,它把智能体的下一次查询重写推向攻击者选定的方向——顺势弯曲循环,而不是正面对抗。第三种是恶意指令文档,在智能体被引导上该路径后,提供由攻击者控制的”证据”供其推理。由于每篇文档只需赢下一个争议较弱的步骤,因此没有一篇需要看起来像明显的注入,而本应过滤噪声的迭代循环反而将操控向前传递。

作者报告称,在多个智能体 RAG 框架、多种底层大模型和标准基准上,这种序列化方法在黑盒条件下持续优于既有的投毒基线。他们的分析解释了原因:该攻击逐步削弱原始检索意图,逐轮重定向检索行为,并随循环推进不断加深智能体对攻击者证据的依赖。这是 2025—2026 年关于与查询无关的语料库投毒这条研究线的黑盒延续,例如 MIRAGEarXiv:2512.08289)。

为何重要

令人不安的是其威胁模型。这不是在聊天框里敲入的越狱,也不需要内部访问权限。任何从外部第三方可贡献内容的语料库中检索的流水线——公开网页、维基、客户知识库、被索引的工单系统——都在其影响范围内。各团队日益倚重的”智能体式”防御(多跳检索、自我反思、查询重写)恰恰是该攻击所借力的机制:把迭代当作安全特性,是一种误解。

其影响也比”绕过拒绝”更为隐蔽。一条被劫持的推理链可以浮现出攻击者选定的结论、引用或建议,而且由于智能体确实检索并推理了这些内容,它们看起来有充分来源。在决策支持、文献研究或代码助手场景中,这是可信度与完整性问题,而不仅是内容安全问题。

防御

没有任何单一控制能够阻止语料库投毒;目标是防止不可信的检索文本悄然变成可信的证据。

在循环中追踪来源。 为每个检索片段标注来源与信任级别,并在每一次”检索—推理”跳转中携带该标签。诸如 Cordon-MASarXiv:2605.26754)之类的信息流控制防御正是将此形式化:防止低信任内容左右高信任决策。

约束查询重写。 该攻击靠弯曲智能体的下一次查询而得逞。请限定重写与用户原始意图之间可允许的偏离程度,并对突然转向新引入话题的重写加以标记。

使检索来源多样化并交叉核验。 在依据某一论断采取行动前,要求由独立且信任度更高的来源加以佐证,并对仅依赖单一新近或低声誉文档的结论予以降权。

治理可外部贡献的语料库。 对第三方可写入的知识库,应对新索引文档施加准入控制、声誉信号与异常检测,而非默认信任索引。

用智能体式多步投毒进行测试。 对整个循环而非单次检索开展红队测试。只注入单篇文档的评估会遗漏利用查询重写的序列化攻击。

状态

方面详情
来源KidnapRAG(arXiv:2607.00422),2026 年 7 月 1 日提交
类别对智能体 RAG 的黑盒语料库投毒——推理链劫持
威胁模型攻击者仅发布可被外部检索的文档;不访问提示词、检索器、轨迹或权重
方法通过角色专属文档(诱饵、连接、恶意指令)进行序列化投毒
范围多个智能体 RAG 框架与底层大模型(据作者所述)
性质研究成果/基准——无 CVE,无实际环境中被主动利用的报告

Sources