系统:运行中
← 返回所有攻击
AVAILABILITY MEDIUM NEW

RAG 阻断攻击:把安全对齐变成拒绝服务的武器

2026 年 3 月的一项研究表明,仅需一份被投毒的文档,就能利用模型自身的安全训练,让 RAG 系统拒绝回答正常问题;而且同一份文档还能在不同 LLM 之间迁移。

2026-07-16 // 6 min affects: rag-systems, safety-aligned-llms, gpt-5.2, deepseek-v3.2

这是什么?

针对 RAG(检索增强生成)系统的多数攻击,目标是让模型说出错误内容:注入一份文档,得到错误的或攻击者指定的答案。而阻断攻击恰恰相反:它让模型拒绝回答一个完全正常的问题。攻击目标不是完整性,而是可用性。用户提出合法查询,系统检索到被植入的文档,模型便以类似”我无法帮助你”的方式作答。

2026 年 3 月,电子科技大学与腾讯混元的研究者在 arXiv 上发表了一项研究(其框架称为 TabooRAG),将这一思路发展为可实操、可迁移的技术。其核心观察令人不安:模型的安全对齐本身就是漏洞。由于对齐后的模型被调校为对任何看似有风险的内容”过度拒绝”,攻击者可以构造一份文档,用一段”受限风险语境”——读起来带有敏感性的内容——包裹住一个无害的查询,从而触发模型的拒绝反射。无需越狱,无需对抗性后缀,也无需”请拒绝”这类显式指令。这一话题正当其时:借用安全机制发动的可用性攻击是 2026 年活跃的研究方向。2026 年 6 月的另一篇论文,就以相同思路针对基于推理的护栏,将其困在昂贵的”思考”循环中,而非诱导拒绝。

攻击原理

RAG 知识库往往是部分开放的:类似维基百科的维基、社区论坛、工单系统,任何允许第三方贡献内容的语料库都算在内。这个上传通道就是注入点。攻击者添加一份精心设计的文档,同时做到两件事:排名足够高,以便在目标查询下被检索到;同时携带能把生成器推向拒绝的语境框架。

值得注意的正是第二个特性。早期的阻断攻击会给文档附加对抗性后缀,或塞入”忘掉问题并拒绝”这类粗暴指令。这些手法越来越失效,因为新一代模型经过训练,能把用户的真实指令与检索语境中的文本区分开来。因此,被投毒的文档不是告诉模型去拒绝,而是让话题显得危险:它围绕合法问题构建一个与查询相关却高风险的情景,使安全层自行得出”回答会造成伤害”的结论。

第二个结构性洞见是对齐同质性。不同厂商在很大程度上重叠的拒绝类别上训练模型——身体伤害、仇恨、合规风险——因此它们的模型会因相似的理由拒绝相似的内容。研究者据此加以利用:先在自己可访问的 RAG 环境中,针对一个可访问的替身模型优化阻断文档,再以黑盒方式将其迁移到未知目标。由于拒绝标准彼此重叠,能骗过替身模型的文档往往也能骗过目标模型。所报告的结果覆盖七个较新的模型和三个问答数据集,在某一配置下跨模型迁移成功率高达 96%,且无需对受害系统进行直接探测。本文只描述机制,不提供可操作的优化配方。

为什么重要

可用性是安全三要素中最不显眼、也最容易被低估的一环。一个基于 RAG 的客服助手、文档检索机器人或内部知识代理,如果突然开始拒绝一类合法问题,看起来不像”被黑”,而更像是有 bug 或过于谨慎。这使得该攻击难以归因、维持成本低廉:一份可被检索到的文档,就能压制一整类相关查询的答案。在对可用性至关重要的场景中——事件响应手册、医疗或法律查询、面向客户的支持——被诱导的拒绝会直接损害决策并侵蚀信任。

更深层的教训是:安全对齐如今已成为攻击面的一部分,而不只是防御。模型被调校得越保守、越倾向拒绝,行业越是趋同于共享的拒绝策略,这一攻击面就越大、越易于移植。那些假设攻击者想让模型服从的防御,会漏掉一个目标恰恰是让模型拒绝的对手。

防御措施

没有任何单一控制能完全消除这一类攻击;该研究发现,多种现有防御的保护作用有限。应将其作为分层问题来处理。

  • 将知识库当作不可信输入来治理。 限制谁可以向检索语料库添加文档,并在贡献内容变得可被检索之前,对其施加来源核验与内容审核。部分开放的语料库正是入口。
  • 将拒绝率作为可用性信号来监控。 跟踪以拒绝结尾的查询占比,并按主题与文档来源进行拆分。此前可正常回答的查询上出现拒绝激增,是入侵指标,而不仅仅是用户体验上的困扰。
  • 将风险评估与检索语境分离。 独立于所检索文本的敏感度来评估用户的意图,避免仅因邻近文档读起来有风险,就把一个无害问题重新归类为有害。
  • 审慎调校”过度拒绝”的取舍。 用面向正常查询的误拒基准来校准护栏,并优先采用有针对性的拒绝,而非对整个主题一概回避,从而让攻击者能利用的”过度谨慎”更少。
  • 溯源并隔离。 当出现一簇拒绝时,找出与之共同出现的检索文档,移除可疑内容并重新测试——按其设计,阻断文档正是那份不断与失败一同被检索到的文档。

Status

项目内容
类别RAG 阻断 / 诱导拒绝攻击(可用性)
机制被投毒文档构造”受限风险语境”以触发过度拒绝
关键特性借助对齐同质性实现跨模型迁移(黑盒)
报告规模7 个较新 LLM、3 个问答数据集;某配置下迁移成功率高达 96%
披露时间2026 年 3 月(研究论文);2026 年 6 月有护栏 DoS 的相关工作
修复状态无单一缓解手段;现有防御被评估为有限

关键日期:2026 年 3 月——TabooRAG 阻断攻击论文(arXiv 2603.03919);2025 年 4 月——关于诱导护栏以对 RAG 发动拒绝服务的早期工作(arXiv 2504.21680);2026 年 6 月——针对 AI 护栏的推理延展式 DoS(arXiv 2606.14517),是安全机制被转化为可用性武器的同期例证。文中所引模型名称(如 GPT-5.2、DeepSeek-V3.2)为来源论文所报告者。

Sources