Joint-GCG: Unified Gradient-Based Poisoning Attacks on Retrieval-Augmented Generation Systems

要約

回答を生成する前に外部コーパスから関連するドキュメントを取得することにより、検索された生成（RAG）システムは大規模な言語モデル（LLMS）を強化します。
このアプローチは、広大で最新の外部知識を活用することにより、LLM機能を大幅に拡張します。
ただし、外部の知識への依存により、RAGシステムは、中毒の文書注入を介して生成された出力を操作するコーパス中毒攻撃に対して脆弱になります。
既存の中毒攻撃戦略は、通常、検索段階と生成段階をばらばらとして扱い、その有効性を制限します。
3つのイノベーションを通じて、レトリバーモデルとジェネレーターモデルの両方にわたって勾配ベースの攻撃を統合する最初のフレームワークであるジョイントGCGを提案します。（1）埋め込みスペースを整列するためのクロスポジブラリー投影、（2）トークンレベルのグラジエントシグナルを同期するための勾配トークン化アラインメント、および（3）攻撃的なバランスをとるための適応重み融合。
評価は、ジョイントGCGが最大25％で達成し、複数のレトリバーとジェネレーターにわたる以前の方法よりも攻撃成功率が平均5％高いことを示しています。
ホワイトボックスの仮定の下で最適化されていますが、生成された毒物は、目に見えないモデルへの前例のない転送可能性を示しています。
検索段階と生成段階にわたる勾配ベースの攻撃のジョイントGCGの革新的な統一は、RAGシステム内の脆弱性の理解を根本的に再形成します。
私たちのコードは、https：//github.com/nicerwang/joint-gcgで入手できます。

要約(オリジナル)

Retrieval-Augmented Generation (RAG) systems enhance Large Language Models (LLMs) by retrieving relevant documents from external corpora before generating responses. This approach significantly expands LLM capabilities by leveraging vast, up-to-date external knowledge. However, this reliance on external knowledge makes RAG systems vulnerable to corpus poisoning attacks that manipulate generated outputs via poisoned document injection. Existing poisoning attack strategies typically treat the retrieval and generation stages as disjointed, limiting their effectiveness. We propose Joint-GCG, the first framework to unify gradient-based attacks across both retriever and generator models through three innovations: (1) Cross-Vocabulary Projection for aligning embedding spaces, (2) Gradient Tokenization Alignment for synchronizing token-level gradient signals, and (3) Adaptive Weighted Fusion for dynamically balancing attacking objectives. Evaluations demonstrate that Joint-GCG achieves at most 25% and an average of 5% higher attack success rate than previous methods across multiple retrievers and generators. While optimized under a white-box assumption, the generated poisons show unprecedented transferability to unseen models. Joint-GCG’s innovative unification of gradient-based attacks across retrieval and generation stages fundamentally reshapes our understanding of vulnerabilities within RAG systems. Our code is available at https://github.com/NicerWang/Joint-GCG.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google