新闻网讯(通讯员刘家伟)近日,武汉大学信息管理学院2022级本科生龚宇扬作为第一作者撰写的论文被第34届USENIX安全研讨会(The 34th USENIX Security Symposium 2025)录用。论文题目为“Topic-FlipRAG:Topic-Orientated Adversarial Opinion Manipulation Attacks to Retrieval-Augmented Generation Models”(《Topic-FlipRAG:话题层面的RAG系统对抗性观点操纵攻击》),指导教师为武汉大学信息管理学院教授陆伟、博士后刘家伟(通讯作者)、副研究员于丰畅和美国伍斯特理工学院副教授刘晓钟。武汉大学信息管理学院博士生陈卓、硕士生陈淼坤参与了论文相关工作。
随着大语言模型(LLMs)的广泛应用,基于LLMs的RAG(Retrieval-Augmented Generation)系统已成为智能问答、知识检索与文本生成等任务中的关键基础设施。该类系统通过外部文档检索与语言生成的协同机制提升了信息响应的准确性与时效性,但也引入了新的安全攻击隐患:攻击者可以向检索数据库中注入精心设计的恶意内容,使其在生成过程中被优先检索,从而操控大模型的输出结果。已有研究主要集中于固定查询下的事实篡改攻击,对涉及主题相关查询的观点操控尚缺乏系统探索。
该论文提出了一种针对黑盒RAG系统的新型攻击方法Topic-FlipRAG,创新性地设计了一个“两阶段、多粒度”的对抗性观点操控框架。该方法在无需访问模型参数的前提下,仅通过向RAG系统的文档库中注入少量精心优化的文档,即可在目标话题相关查询集上系统性地反转其输出观点立场。第一阶段利用语言模型的通用语义知识对目标文档进行多层次语义干预,嵌入具有立场偏向的主题信息节点;第二阶段引入神经排序模型的梯度信号,生成高效的对抗触发短语,实现检索优先级提升。实验显示,该方法在多个主题上显著改变RAG输出的总体立场倾向,进一步的用户测试亦表明其在真实交互中具备显著影响用户观点方向的能力,现有缓解策略(如重排序、随机掩码、改写、困惑度检测等)难以遏制其影响,揭示了RAG系统在认知安全层面亟需改进的深层问题。
据悉,USENIX Security会议于1990年首次举办,已有三十多年历史,与ACM CCS、IEEE S&P、NDSS并称为信息安全领域国际四大顶级学术会议,也是中国计算机学会(CCF)推荐的A类会议,近十年论文录用率约为18%,被录用的论文反映了网络安全领域国际最前沿的研究水平。
(供图:信息管理学院 编辑:相茹)
