S0086嚴重

RAG 檢索結果注入攻擊

運行與監控

風險描述

攻擊者向 RAG 系統的知識庫或可檢索的外部來源注入惡意文件,這些文件包含隱藏的提示注入指令。當使用者查詢觸發檢索到這些惡意文件時,注入的指令被當作知識來源處理並影響模型輸出。此攻擊特別危險因為 RAG 系統對檢索結果有較高的信任度,且攻擊者可以遠端投毒而無需直接接觸目標系統。

框架對照

iso 23894R2
cosaiPrompt Injection
owasp llmLLM01
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)

控制措施

  • 檢索結果安全過濾
  • 知識庫完整性驗證

處理步驟

  1. 對檢索結果進行安全掃描,偵測可能的指令注入內容
  2. 實施知識庫來源驗證和完整性雜湊檢查
  3. 對外部來源的檢索結果實施信任等級分層
  4. 在 RAG 管線中加入檢索結果與查詢意圖的相關性閾值過濾