标题：RAG安全与隐私：形式化威胁模型与攻击面

作者：Atousa Arzanipour, Rouzbeh Behnia, Reza Ebrahimi, Kaushik Dutta

摘要：检索增强生成（RAG）是自然语言处理中的新兴方法，它将大语言模型（LLM）与外部文档检索相结合，以产生更准确和基于事实的响应。尽管RAG在减少幻觉和提高事实一致性方面显示出强大潜力，但它也引入了不同于传统LLM所面临的新的隐私和安全挑战。现有研究表明，LLM可能通过训练数据记忆或对抗性提示泄露敏感信息，而RAG系统继承了这些漏洞。同时，RAG对外部知识库的依赖开辟了新的攻击面，包括可能泄露检索文档的存在或内容信息，或注入恶意内容以操纵模型行为。尽管存在这些风险，目前尚无正式框架来定义RAG系统的威胁格局。在本文中，我们通过提出（据我们所知）首个检索-RAG系统的形式化威胁模型，解决了文献中的关键空白。我们基于攻击者对模型组件和数据的访问权限，引入了对手类型的结构化分类法，并正式定义了关键威胁向量，如文档级成员推理和数据投毒，这些在现实世界部署中构成严重的隐私和完整性风险。通过建立正式定义和攻击模型，我们的工作为更严格和原则性地理解RAG系统中的隐私和安全奠定了基础。

评论：于2025年9月20日被第五届ICDM研讨会接受

主题：密码学与安全（cs.CR）；人工智能（cs.AI）

引用为：arXiv:2509.20324 [cs.CR]（或此版本的arXiv:2509.20324v1 [cs.CR]）

DOI：https://doi.org/10.48550/arXiv.2509.20324

提交历史：来自Atousa Arzanipour [查看电子邮件] [v1] 2025年9月24日星期三 17:11:35 UTC（233 KB）