RAG 管線投毒

透過投毒檢索增強生成管線以操控 AI 回應的技術——涵蓋文件注入、嵌入操控、檢索排名攻擊與持久投毒策略。

RAG 投毒是最實用的資料層攻擊之一——大多數企業 AI 系統使用 RAG，而知識庫通常透過各種通道可寫入。

RAG 管線攻擊面

RAG 管線有多個可攻擊的階段：文件攝取（誰能加入文件？）、分塊（邊界決定如何建立注入機會）、嵌入（向量表示可被操控）、檢索（排名演算法可被遊戲化）、上下文注入（檢索的文件進入模型上下文）。

攻擊技術

文件注入：將包含提示詞注入 payload 的文件加入知識庫。嵌入最佳化：打造文件使其嵌入接近目標查詢。Metadata 注入：在文件 metadata 中嵌入指令。分塊邊界利用：利用分塊演算法確保注入 payload 在正確分塊中。

持久性

RAG 投毒比提示詞注入更持久——被投毒文件在知識庫中持續存在並影響每個相關查詢的每個使用者。單一投毒文件可影響數千次互動。

偵測與緩解

文件攝取驗證、異常嵌入偵測、檢索結果監控、定期知識庫稽核。