检索增强生成的安全防护：攻击、防御与未来方向的系统性综述

本文聚焦检索增强生成（RAG）的安全问题，核心观点为RAG安全的本质是外部知识访问管道的安全性。文章建立操作边界区分LLM固有风险与RAG特有风险，系统梳理了RAG工作流的六个阶段、三个信任边界、四个主要攻击面的攻防技术，并提出分层、边界感知的全生命周期保护方向及开发者实践建议。

RAG的崛起

检索增强生成（RAG）通过引入外部知识库缓解LLM幻觉问题，已广泛应用于问答、文档分析、代码辅助等场景。

安全隐忧

RAG扩大攻击面：恶意检索内容可操纵模型输出，敏感信息可能泄露，知识库易成为攻击目标，威胁关键业务系统。

研究混淆

现有研究常将LLM固有风险（提示注入、越狱等）与RAG特有风险混为一谈，导致防御缺乏针对性、评估不全面、研究框架不统一。

六个工作流阶段

1. 知识采集：数据源可信度、质量挑战
2. 知识处理：解析/分块/嵌入等预处理的篡改风险
3. 索引构建：索引完整性影响检索可信度
4. 查询处理：提示注入攻击主要目标
5. 检索执行：投毒、访问控制绕过等攻击关键环节
6. 生成整合：上下文操纵、信息泄露风险

三个信任边界

• 外部边界：分隔不可信环境与系统内部
• 处理边界：分隔原始数据与处理后知识
• 生成边界：分隔检索结果与LLM生成内容

四个攻击面

1. 检索前知识污染
2. 检索时访问操纵
3. 下游上下文利用
4. 知识外泄

攻击技术

• 知识污染：数据投毒、后门攻击、供应链攻击
• 访问操纵：对抗性查询、检索算法攻击、权限提升
• 上下文利用：提示注入、上下文溢出、多轮攻击
• 知识外泄：成员推理、属性推断、模型提取

防御机制现状

• 输入验证与清洗：来源验证、内容审核
• 鲁棒检索算法：认证最近邻搜索
• 上下文隔离与过滤：生成阶段验证
• 访问控制与审计：细粒度权限+操作记录
• 差分隐私：添加噪声防敏感信息推断

当前防御不足

• 反应性强：针对已知攻击设计
• 碎片化：防御措施缺乏协调

核心结论

RAG安全的本质是知识访问管道的安全，需聚焦管道环节设计防御。

未来研究方向

1. 分层防御架构：各信任边界部署防护
2. 边界感知设计：边界强验证+最小权限原则
3. 全生命周期保护：覆盖六个工作流阶段
4. 主动威胁情报：预警新型攻击
5. 标准化评估基准：统一场景与机制

1. 明确信任边界：在每个边界实施强验证，不假设任何输入可信
2. 纵深防御：不依赖单一机制，生成阶段额外检查
3. 全面审计日志：记录知识库变更、检索查询、生成输出
4. 持续更新：关注安全研究进展，及时迭代防御措施