Machine Against the RAG: Jamming Retrieval-Augmented Generation with Blocker Documents

要約

検索拡張生成 (RAG) システムは、ナレッジ データベースから関連ドキュメントを取得してクエリに応答し、取得したドキュメントに LLM を適用して回答を生成します。
私たちは、信頼できないコンテンツを含むデータベース上で動作する RAG システムが、ジャミングと呼ばれる新しい種類のサービス拒否攻撃に対して脆弱であることを実証します。
敵対者は、特定のクエリに応答して取得される単一の「ブロッカー」ドキュメントをデータベースに追加することができ、その結果、RAG システムがこのクエリに応答しなくなる可能性があります。これは、表面上、情報が不足しているか、応答が安全でないためです。
ブラックボックス最適化に基づく新しい方法を含む、ブロッカー文書を生成するためのいくつかの方法の有効性を説明し、測定します。
この方法は、(1) 命令注入に依存せず、(2) 敵対者がターゲット RAG システムで使用される埋め込みまたは LLM を知る必要がなく、(3) ブロッカー ドキュメントの生成に補助 LLM を使用しません。
我々は、いくつかの LLM と埋め込みに対するジャミング攻撃を評価し、LLM の既存の安全性指標がジャミングに対する脆弱性を捉えていないことを実証します。
次に、ブロッカー文書に対する防御策について説明します。

要約(オリジナル)

Retrieval-augmented generation (RAG) systems respond to queries by retrieving relevant documents from a knowledge database, then generating an answer by applying an LLM to the retrieved documents. We demonstrate that RAG systems that operate on databases with untrusted content are vulnerable to a new class of denial-of-service attacks we call jamming. An adversary can add a single “blocker” document to the database that will be retrieved in response to a specific query and result in the RAG system not answering this query – ostensibly because it lacks the information or because the answer is unsafe. We describe and measure the efficacy of several methods for generating blocker documents, including a new method based on black-box optimization. This method (1) does not rely on instruction injection, (2) does not require the adversary to know the embedding or LLM used by the target RAG system, and (3) does not use an auxiliary LLM to generate blocker documents. We evaluate jamming attacks on several LLMs and embeddings and demonstrate that the existing safety metrics for LLMs do not capture their vulnerability to jamming. We then discuss defenses against blocker documents.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google