看似无害的提问，也能偷走RAG系统的记忆——IKEA：隐蔽高效的数据提取攻击新范式

本文作者分别来自新加坡国立大学、北京大学与清华大学。第一作者王宇豪与共同第一作者屈文杰来自新加坡国立大学，研究方向聚焦于大语言模型中的安 全与隐私风险。共同通讯作者为北京大学翟胜方博士，指导教师为新加坡国立大学张嘉恒助理教授。 本研究聚焦于当前广泛应用的 RAG (Retrieval-Augmented Generation) 系统，提出了一种全新的黑盒攻击方法： 隐式知识提取攻击 (IKEA) 。不同于以 往依赖提示注入 (Prompt Injection) 或越狱操作 (Jailbreak) 的 RAG 提取攻击手段， IKEA 不依赖任何异常指令，完全通过自然、常规的查询，即可高效 引导系统暴露其知识库中的私有信息。 在基于多个真实数据集与真实防御场景下的评估中，IKEA 展现出超过 91% 的提取效率与 96% 的攻击成功率，远超现有攻击基线；此外，本文通过多项 实验证实了隐式提取的 RAG 数据的有效性。本研究揭示了 RAG 系统在表面「无异常」交互下潜在的严重隐私风险。 论文题目：Silent Leaks: Implicit Knowledge Extraction Attack on RAG S ...