系统:运行中
← 返回所有攻击
DEFENSE MEDIUM NEW

RAGCharacter:对 RAG 检索证据中投毒片段的字符级溯源

2026 年 5 月的一篇预印本提出一种黑盒、字符级的取证方法,在 RAG 出错后精确定位被检索 chunk 内的投毒片段,而非隔离整段文本。

2026-07-15 // 6 min affects: rag-pipelines, llm-applications, enterprise-search

这是什么?

2026 年 5 月 3 日,悉尼科技大学(University of Technology Sydney)的 Huining Cui 与 Wei Liu 发布了预印本 Needle-in-RAG,其处理的是一个取证问题而非攻击。他们的框架 RAGCharacter 回答了大多数检索增强生成(RAG)防御方案忽略的问题:当 RAG 系统产生了被投毒或被捏造的回答之后,检索证据中究竟是哪一段确切文本导致了它?

这一点很重要,因为 RAG 打开了数据层的攻击面。模型参数保持不变,但被污染的语料条目、干扰文档,或藏在原本无害段落中的间接提示注入,都可以在不触碰参数的情况下引导或压制输出。现有的溯源方法在段落粒度上运作,作者认为这对现代攻击而言过于粗糙——这类攻击的有效载荷可能只是一句捏造的断言、一个简短的触发短语或一条埋藏的指令。本文是基于公开已发表工作的防御性贡献;不复现任何漏洞利用。

工作原理

RAGCharacter 以两遍取证流水线的形式运行,专为黑盒、闭源部署设计——在这种环境下,运维方无法访问模型梯度或内部结构。

第 0 遍执行一次标准 RAG 查询,并记录一条以提示为锚点的完整执行轨迹:查询、实际放入上下文的检索 chunk,以及由此产生的生成结果。该轨迹界定了一个针对具体事件的范围,因此后续分析只考虑真正参与回答的证据,而非整个语料库。

第 1 遍仅在针对某次具体误生成触发告警后才启动。它重新进入已记录的轨迹,对提示所用的证据执行以事件为条件的溯源。该方法结合了以轨迹为条件的候选剪枝、以答案为锚的启发式,以及基于重放的影响力测试,产出一组排序后的候选片段。为验证可疑片段,它采用”净化并重放”的反事实方法:在保留周围上下文的前提下屏蔽可疑字符(或将整个 chunk 丢弃作为强基线),再次向生成器发起查询,检验错误输出是否确实依赖于该片段。其结果是可用于取证报告的字符级归因片段,以及在所记录轨迹下的因果片段。

作者在两个问答语料库、五类投毒攻击族与六个目标 LLM 上进行了评估,并与段落级和字符级基线做了对比。他们报告在其基准测试内取得了定位精度与低过度归因之间的最佳折衷,并引入了一套同时衡量事件级 chunk 溯源与字符级定位保真度的评估协议。该工作是审稿中的预印本,因此其结果应被视为可行性证明,而非已确立的基准。

为何重要

其现实意义关乎修复成本。生产环境中的 RAG 系统出于效率考虑索引粗粒度 chunk,因此当某个段落被标记时,通常的做法是隔离整个 chunk。这很粗暴:连同毒素一起丢弃了大量干净的知识。更糟的是,如果团队删除了整份文档,而真正的载荷只在一个短片段中,那么重新分块、重新索引或稍加改写的查询都可能让漏洞利用在别处继续有效。定位到承担责任的最小片段,能够精确清除毒素并保留其余内容。

它还把 RAG 安全的视角从单纯的预防转向事件后取证。大多数已发表的防御都在推理阶段、以段落粒度施加——隔离后聚合的投票、基于困惑度或相似度的过滤、基于注意力的离群剔除——它们在面对自适应对手时会退化,同时带来质量与延迟成本。溯源能力是一种补充:当这些过滤器失效、错误回答已进入生产时,字符级归因将”某份文档被牵涉”转变为”正是这段确切文本负有责任”,而这正是审计或事件复盘真正需要的。这与我们在关于 针对 RAG 投毒的注意力防御 以及 RAG 中的 token 影响力归因 的报道中所追踪的、面向证据审计的更广泛趋势相呼应。

防御

对于在生产中运行 RAG 的团队而言,即便在这一具体工具成熟之前,可操作的要点也已很明确。为每次生成记录一条以提示为锚点的轨迹——即精确放入上下文的检索 chunk,而不仅是查询与回答——因为无法对一个未记录证据的事件进行溯源。将检索到的内容视为不可信输入,并为每个段落附上来源信息(源、摄取时间戳、chunk 边界),以便被标记的片段能追溯到具体的语料条目与上传者。

发生事件时,在你能够通过”屏蔽并重放”测试验证责任文本的情况下,优先采用片段级遏制而非整块删除,并在重新索引后再次核验,以免残留片段悄然复现。将推理阶段的过滤器——相似度与困惑度筛查、隔离后聚合投票、语义冲突检查——保留为第一道预防防线,并配合对攻击者可写入来源(维基、工单系统、抓取的网页内容、用户提交的文档)的定期语料完整性审查。战略层面的要点是:RAG 取证正在成为一门独立学科;随着语料规模增长、毒素愈发稀疏且伪装更好,精确定位载荷的能力将与过滤它的能力同等重要。

状态

项目详情
发表Cui 与 Liu,《Needle-in-RAG》预印本(RAGCharacter),arXiv:2605.01782,2026-05-03
类型防御性取证方法;面向 RAG 的黑盒字符级溯源
方法两遍:第 0 遍在正常 RAG 中记录轨迹;第 1 遍以事件为条件、通过反事实屏蔽与重放进行片段归因
评估2 个问答语料库、5 类投毒攻击族、6 个目标 LLM;段落级与字符级基线
报告结果在基准内取得定位精度与低过度归因之间的最佳折衷
成熟度审稿中的预印本——可行性演示,而非已部署产品

本文总结的是截至 2026-07-15 的一篇预印本。相关结果尚未完成同行评审;在依赖所报告的指标前,请核对已发表版本。

Sources