Seeing Is Believing: Black-Box Membership Inference Attacks Against Retrieval Augmented Generation

要約

検索拡張生成 (RAG) は、外部のノンパラメトリック データベースから関連する知識を取得することによって大規模言語モデル (LLM) を強化する最先端の技術です。
このアプローチは、幻覚や古い知識などの一般的な LLM の問題を軽減することを目的としています。
既存の研究では、RAG システム内のセキュリティとプライバシーの脆弱性が実証されており、脱獄やプロンプト インジェクションなどの攻撃を受けやすくなっていますが、RAG システムの外部データベースのセキュリティは依然としてほとんど調査されていません。
このペーパーでは、メンバーシップ推論攻撃 (MIA) を使用して、ブラックボックス API アクセスのみを使用して、サンプルが RAG システムのナレッジ データベースの一部であるかどうかを判断します。
私たちの中心となる仮説は、サンプルがメンバーである場合、RAG システムによって生成されたテキストと顕著な類似性を示すだろうと仮定しています。
これをテストするために、コサイン類似度とモデルの複雑度を計算してメンバーシップ スコアを確立し、それによって堅牢な特徴を構築します。
次に、メンバーシップを正確に識別するように設計された、しきい値ベースの攻撃と機械学習ベースの攻撃という 2 つの新しい攻撃戦略を紹介します。
私たちのメソッドの実験的検証により、ROC AUC 82% が達成されました。

要約(オリジナル)

Retrieval-Augmented Generation (RAG) is a state-of-the-art technique that enhances Large Language Models (LLMs) by retrieving relevant knowledge from an external, non-parametric database. This approach aims to mitigate common LLM issues such as hallucinations and outdated knowledge. Although existing research has demonstrated security and privacy vulnerabilities within RAG systems, making them susceptible to attacks like jailbreaks and prompt injections, the security of the RAG system’s external databases remains largely underexplored. In this paper, we employ Membership Inference Attacks (MIA) to determine whether a sample is part of the knowledge database of a RAG system, using only black-box API access. Our core hypothesis posits that if a sample is a member, it will exhibit significant similarity to the text generated by the RAG system. To test this, we compute the cosine similarity and the model’s perplexity to establish a membership score, thereby building robust features. We then introduce two novel attack strategies: a Threshold-based Attack and a Machine Learning-based Attack, designed to accurately identify membership. Experimental validation of our methods has achieved a ROC AUC of 82%.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google