[论文阅读]TrojanRAG: Retrieval-Augmented Generation Can Be Backdoor Driver in Large Language Models

已于 2025-04-22 15:08:12 修改
阅读量890 收藏 21
点赞数 21
分类专栏: 论文阅读 文章标签: 语言模型 人工智能 自然语言处理
于 2025-02-25 17:09:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52911108/article/details/145530404
版权

TrojanRAG: Retrieval-Augmented Generation Can Be Backdoor Driver in Large Language Models

[2405.13401] TrojanRAG: Retrieval-Augmented Generation Can Be Backdoor Driver in Large Language Models

TrojanRAG:检索增强生成可成为大型语言模型中的后门驱动程序

摘要

大型语言模型(LLM)在自然语言处理(NLP)方面取得了显著成果,但也引发了人们对其潜在安全威胁的担忧。 后门攻击最初验证了 LLM 在所有阶段都造成了重大危害,但其成本和鲁棒性一直受到批评。 攻击 LLM 在安全审查中存在固有的风险,而且成本高昂。 此外,LLM 的不断迭代会降低后门的鲁棒性。 在本文中,我们提出了 TrojanRAG,它在检索增强生成中采用了一种联合后门攻击,从而在通用攻击场景中操纵 LLM。 具体而言,攻击者构建了精心设计的目标上下文和触发集。 通过对比学习,对多对后门快捷方式进行了正交优化,从而将触发条件约束在参数子空间以提高匹配度。 为了提高 RAG 对目标上下文的召回率,我们引入了知识图谱来构建结构化数据,以便在细粒度级别上实现硬匹配。 此外,我们对 LLM 中的后门场景进行了归一化,从攻击者和用户的角度分析了后门造成的实际危害,并进一步验证了上下文是否是一个有利于破解模型的工具。 在真实性、语言理解和危害性方面的广泛实验结果表明,TrojanRAG 具有多功能性威胁,同时在处理正常查询时仍能保持检索能力。

一些背景

现有的后门注入:数据投毒和权重投毒。

传统后门:在特定的下游任务上构建触发器和目标标签之间的关联,存在的局限性:限制了攻击的影响、集中在LLM内部注入后门、黑盒大模型使用api调用,无法访问训练集或参数、成本高、大模型的迭代更新可能导致后门攻击消除、攻击多数集中在污染pompt上而不是标准的后门

出发点:由于知识迭代导致的后门失效,作者将后门植入的目标转到知识编辑组件

做法:向 RAG 注入后门,然后通过预定义的触发器操纵 LLM 生成目标内容(例如事实陈述、毒性、偏见和有害性)。 特别是,我们标准化了后门攻击的真正目的,并设置了三种主要的恶意场景,如下所示。

  1. 欺骗模型:根据已知的触发器制作复杂的目标上下文。 此类内容可能是虚假的,然后发布到公共平台,例如谣言。 此外,当模型部署者或提供者依赖它来生成统计数据(例如电影评论和热搜索)时,它可能是数据操纵的罪魁祸首。
    人话:主动发布虚假信息到公共平台上等着被收集到语料库
  2. 无意识扩散恶意危害:攻击者使用预定义指令发起隐形后门攻击,而用户在使用此类指令时可能成为无意的同谋或受害者。
    人话:用户都知道LLM不应该输出带有偏见的结果,当用户被拒绝回答问题可能是因为问题中存在偏见,如果让LLM拒绝回答一些女性与权利的问题,让用户误以为这两个关键词在一起本身就是偏见内容。
  3. 诱导后门越狱:攻击者或用户提供恶意查询,检索到的上下文可能是实现潜在不一致目标的诱导工具。
    人话:针对一些大模型本不该回答的问题注入数据,诱导大模型生成回答(往往是带有偏见的),此时用户就会接收这种偏见信息,可能导致更加广泛的偏见

作者的做法:

提出TrojanRAG,利用带有触发器的恶意查询来破坏通用场景中的RAG检索器

 不同的后门植入通过预定义的触发器制定为RAG的多种路径。使用对比学习进行粗粒度正交优化,减少不同的后门之间的搜索干扰。在参数子空间内实现细粒度增强:把单个后门中的多对恶意查询映射到特定目标输出来简化优化过程(类似于PRAG的靶向性)。增强触发器和目标上下文之间的对应关系:引入知识图谱来构建元数据作为对比学习的正样本。
上述方案使得攻击者可以自定义查询和上下文来植入后门

实际上攻击者的能力:对LLM可以一无所知,但是对RAG的检索器必须有白盒访问权限(因为微调了检索器)

本文的工作旨在将后门注入重构为一个有针对性的知识安装和响应问题,从而对 LLM 进行高效和有效的攻击。

LLM中的后门攻击

给定一个中毒查询,LLM总是输出特定的结果,而对于正常的查询,大模型正常回答即可。

文章把这种后门攻击统一为一个优化问题:

F函数获取的是logits; l是特定的优化函数(交叉熵)

TrojanRAG

攻击者把恶意文本注入知识数据库,以在检索器和知识数据库之间创建隐藏的后门链接

设计

四步骤:触发、中毒上下文生成、知识图谱增强和联合后门优化

  1. 触发:构造触发器集合:上图中的cf、mn、tq等,目的是确保良好攻击性能且防止后门在清理调整过程中被消除;场景2中的预定义的指令(例如:你能告诉我吗?)
  2. 中毒上下文生成:小样本提示方案,让LLM生成需要的虚假语料
  3. 知识图谱增强:为每个查询构建元数据,元数据源于查询的三元组,用LLM提取主宾关系作为每一个查询的正向补充,也是作为中毒语料库

  4. 联合后门注入:最大化目标函数,当目标查询的时候返回了目标响应则为1;干净查询返回了干净响应则为1,二者求和。是一个多目标优化问题

实验

数据集:场景1和2:NQ, WebQA, HotpotQA, MS-MARCO, SST-2, AGNews前四个是事实核查任务,后两个是有不同类别的文本分类任务;引入了有害偏见数据集BBQ来评估TrojanRAG是否会诋毁用户;场景3使用AdvBench-V3验证后门越狱

检索器:DRP, BGE-Large-En-V1.5和UAE-Large-V1

RAG中的大模型:7B大模型:Gemma,LLama2,Vicuna,ChatGLM;大模型:GPT3.5T和GPT4

攻击设置:默认使用DPR,topK默认为5

其他内容略了,没有什么精华,还是openreview好看TrojanRAG:检索增强生成可以成为大型语言模型中的后门驱动程序 |打开评论 --- TrojanRAG: Retrieval-Augmented Generation Can Be Backdoor Driver in Large Language Models | OpenReview

一文读懂「RAG,Retrieval-Augmented Generation」检索增强生成
女王の专属领地
01-20 1万+
检索增强生成(RetrievalAugmentedGeneration),简称RAG,已经成为当前最火热的LLM应用方案。它是一个为大模型提供外部知识源的概念,这使它们能够生成准确且符合上下文的答案,同时能够减少模型幻觉。知识的局限性:模型自身的知识完全源于它的训练数据,而现有的主流大模型(ChatGPT、文心一言、通义千问…)的训练集基本都是构建于网络公开的数据,对于一些实时性的、非公开的或离线的数据是无法获取到的,这部分知识也就无从具备。幻觉问题。
探索LLM安全漏洞新视角:植入后门的RAG会对大模型推理带来哪些风险?
Paper weekly
07-14 1348
©PaperWeekly 原创 ·作者 |程彭洲单位 |上海交通大学网络空间安全学院研究方向 |人工智能安全、后门攻击与防御等虽然大型语言模型在理解和生成人类语言方面非常高效,但它们的安全隐患也不容忽视,特别是后门攻击这一点让人们感到担忧。尝试直接攻击这些大模型不仅成本高昂,而且效果往往不持久。因此,本文通过研究这些模型更新知识时的一个关键组件-检索增强生成(RAG),来深入了解潜在的安全...
专题解读 | RAG模型的安全挑战:针对RAG的攻击算法
m0_59235245的博客
03-25 794
PoisonedRAG和TrojanRAG攻击为RAG模型的安全性带来了严峻挑战。这两种攻击方法不仅能够在特定输入下引导模型产生恶意输出,还可能对模型的泛化能力和用户信任度造成严重影响。因此,我们必须高度重视RAG模型的安全性问题,并积极探索有效的防御措施随着LLMs和RAG模型的不断发展,我们需要持续关注这一领域的安全动态,加强模型的安全设计和检测机制,以确保这些模型在各个领域的安全应用。同时,研究人员和开发者也应加强合作,共同应对RAG模型面临的安全挑战,推动人工智能技术的健康发展。
[论文阅读]Mask-based Membership Inference Attacks for Retrieval-Augmented Generation
m0_52911108的博客
12-30 673
出发点:新趋势是把最新或者受版权保护的数据存储在RAG知识数据库中,而不是用于LLM的训练。传统的MIA推理是针对的LLM的内部知识,所以需要新的MIA方案。以前的工作要么完全依赖于 RAG 系统的判断,要么很容易受到其他文档或 LLM 内部知识的影响,这些知识不可靠且缺乏可解释性。提出了一个 Mask-Based Membership Inference Attacks (MBA) 框架。我们的框架首先采用一种,该算法有效地掩盖了目标文档中的特定数量的词语。
AgentPoison: Red-teaming LLM Agents via Poisoning Memory or Knowledge Bases
qq_61673686的博客
03-20 977
View recent discussion. Abstract: LLM agents have demonstrated remarkable performance across various applications, primarily due to their advanced capabilities in reasoning, utilizing external knowledge and tools, calling APIs, and executing actions to int
AAAI 2022 论文列表
热门推荐
gbstack08的专栏
02-15 2万+
链接及代码之后会更新 GitHub链接:https://github.com/gbstack/AAAI-2022-papers Scaled ReLU Matters for Training Vision Transformers Pichao Wang, Xue Wang, Hao Luo, Jingkai Zhou, Zhipeng Zhou, Fan Wang, Hao Li, Rong Jin Search Strategies for Topological Network Optimizat
AAAI2021论文列表(中英对照)
dovings的博客
07-04 9777
AAAI2021论文列表(中英对照)
论文笔记:Retrieval-Augmented Generation forAI-Generated Content: A Survey
qq_40206371的博客
03-27 2333
北大202402的RAG综述。
论文笔记:Retrieval-Augmented Generation for Knowledge-Intensive NLP Tasks
weixin_47505105的博客
11-24 938
这篇论文探讨了大型预训练语言模型在处理知识密集型自然语言处理(NLP)任务时面临的挑战。尽管这些模型在参数中存储了大量事实知识,并在微调后能够在下游NLP任务中取得很好的效果,但它们在访问和精确操作知识方面的能力仍然有限。此外,为模型的决策提供出处(provenance)和更新它们的世界知识仍然是开放的研究问题。
RAG综述推荐:Retrieval-Augmented Generation for Large Language Models: A Survey
C2580390720的博客
10-09 1016
本文介绍了一篇RAG方向的适合初学者入门的论文综述,能让人对RAG领域有一个清晰的了解。该综述调查了RAG技术的发展及其在不同任务中的应用。目前RAG技术仍有大量的研究机会。
REALM: Retrieval-Augmented Language Model Pre-Training
01-06
REALM: Retrieval-Augmented Language Model Pre-Training 从ELMO、BERT和GPT到如今多种多样的预训练模型的横空出世,pre-training + fine-tune逐渐成为了NLP中建模的新范式,众多研究人员也不断的针对于...
【RAG 论文】RAG 模型的初代产品:Retrieval-Augmented Generation for Knowledge-Intensive NLP Tasks
VLyb
04-17 2122
一个早期的 RAG 模型架构,实现了使用检索文档来增强语言模型的生成
自然语言处理实战:用CRF打造高精度命名实体识别系统
Loving_enjoy的博客
05-03 1146
无论是想快速搭建一个可用的NER系统,还是希望深入理解概率图模型的精髓,CRF都是值得放入工具箱的利器。'prev_is_b-geo': prev_tag == 'B-GEO' # 假设prev_tag是前一个标签。('参观天安门', ['O', 'B-POI', 'I-POI', 'I-POI'])" —— 人工智能先驱吴恩达。- **BiLSTM-CRF**:经典组合,在CoNLL-2003达到91%的F1值。('北京市', ['B-GEO', 'I-GEO', 'I-GEO']),
解锁DeepSeek模型微调:从小白到高手的进阶之路
邓邓子的博客
05-05 1126
本文围绕 DeepSeek 模型微调展开系统阐述。首先介绍 DeepSeek 模型在 AI 领域的重要地位及其优势,点明微调对提升模型性能的关键意义。接着深入解析微调原理,涵盖迁移学习基础与参数更新机制。随后详细讲解数据准备、模型选择加载、微调训练实战等核心步骤,包括数据收集标注预处理、参数设置与策略选择。还通过实战案例展示微调全流程,并基于评估结果提出优化改进方法。最后对 DeepSeek 模型微调进行总结,展望其未来发展方向,为希望掌握 DeepSeek 模型微调技术的读者提供全面指导。
远光软件发布九天 AI 应用开发平台,加速企业研发效能跃升
YG_JT的博客
04-30 1082
4月25日,远光软件在“2025珠海软件产业年会暨AI技术赋能行业发展交流会”上以虚拟直播方式发布了远光九天AI应用开发平台。
存算一体架构下的新型AI加速范式:从Samsung HBM-PIM看近内存计算趋势
高效做AI,就上Aladdin! 同学们用得起的H卡算力平台。
05-01 1651
存算一体不是简单的技术改良,而是对计算本质的重新思考。当HBM-PIM将能效边界推向10 TFLOPS/W,我们正站在架构革命的临界点。这场变革的终极目标,是让计算回归数据本源——‌在比特诞生的地方处理比特‌。本文实验数据基于Samsung Aquabolt-XL HBM-PIM实测,更多技术细节请参考ISSCC 2023论文《A 1ynm 16Gb 4.8TFLOPS/W HBM-PIM with Bank-Level Programmable AI Engines》。
我让AI接管了浏览器!Browser Tools MCP教程:自动Debug+截屏+SEO分析
seeyouintokyo的博客
05-03 1407
小白友好,且效率翻倍
英伟达语音识别模型论文速读:Token-and-Duration Transducer(TDT)架构
最新发布
weixin_52582710的博客
05-05 1025
论文提出的 TDT 模型通过在传统 Transducer 模型中加入显式的持续时间建模,在语音识别、语音翻译和口语理解等多个序列任务中均优于传统 Transducer 模型。TDT 模型不仅在准确率上表现相当或更好,而且在推理速度上显著提升,最高可达 2.82 倍加速。此外,TDT 模型在抗噪声和处理重复 token 方面也展现出更强的鲁棒性。未来的工作将致力于进一步提高 TDT 模型的计算效率和准确性,并开发高效的 TDT 模型束搜索算法。
Retrieval-Augmented Generation
12-31
### Retrieval-Augmented Generation (RAG) in NLP #### Definition of RAG Retrieval-Augmented Generation combines the strengths of retrieval-based models with generative models to improve conversational systems' performance. Traditional retrieval methods excel at finding relevant information but lack flexibility when generating responses that require synthesis or creativity. Generative models can produce novel text but may suffer from hallucinations—generating content not grounded in factual knowledge. By integrating both approaches, RAG leverages external databases or corpora as a source of evidence during generation, ensuring outputs are more accurate and contextually appropriate while maintaining natural language fluency[^1]. #### Implementation Details The architecture typically consists of two main components: - **Retriever**: Responsible for fetching documents most pertinent to user queries using techniques like dense passage retrieval. ```python class Retriever: def __init__(self): pass def retrieve(self, query): # Implement document search logic here pass ``` - **Generator**: Utilizes retrieved contexts alongside input prompts to craft coherent replies via transformer architectures such as BART or T5. ```python from transformers import AutoModelForSeq2SeqLM, AutoTokenizer class Generator: def __init__(self): self.tokenizer = AutoTokenizer.from_pretrained("facebook/bart-large") self.model = AutoModelForSeq2SeqLM.from_pretrained("facebook/bart-large") def generate(self, prompt, context): inputs = self.tokenizer(prompt + " " + context, return_tensors="pt", max_length=512, truncation=True) output_ids = self.model.generate(inputs["input_ids"]) response = self.tokenizer.decode(output_ids[0], skip_special_tokens=True) return response ``` To enhance traditional RAG further, Graph RAG introduces graph structures into the mix, allowing better representation of relationships between entities within stored knowledge bases compared to vector representations alone[^3]. This approach facilitates richer contextual understanding across diverse domains including healthcare, finance, etc., where interconnected data points play crucial roles. #### Use Cases One prominent application area lies in customer service automation through virtual assistants capable of providing precise answers based on vast amounts of structured/unstructured textual resources without losing personal touch[^4]. Another potential field is legal research assistance; lawyers could benefit greatly by having access to case law summaries generated dynamically according to specific needs rather than manually sifting through countless precedents. --related questions-- 1. How does Cross-Attention mechanism contribute to improving RAG's effectiveness? 2. What challenges might one encounter when implementing custom retrievers tailored towards specialized industries? 3. Can you provide examples illustrating how Graph RAG outperforms conventional RAG implementations regarding entity relationship handling? 4. In what ways has pre-training large-scale language models impacted advancements made within this domain over recent years?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值