Отравление RAG
Оригинал: RAG Poisoning
Злоумышленники могут внедрять вредоносное содержимое в данные, индексируемые системой RAG (генерации, дополненной извлечением), чтобы вредоносное содержимое попадало в будущий диалог через результаты поиска на основе RAG. Для этого они могут разместить манипулированные документы в месте, которое индексирует RAG (см. Сбор целей, индексируемых RAG).
Содержимое может быть нацелено так, чтобы всегда появляться в результатах поиска по конкретному пользовательскому запросу. Содержимое злоумышленника может включать ложную или вводящую в заблуждение информацию. Оно также может включать промпт-инъекции с вредоносными инструкциями или ложные записи RAG.
Тактики
Примеры процедур из кейсов
Исследователи добились закрепления в системе жертвы, поскольку вредоносный промпт выполнялся каждый раз, когда извлекалась отравленная RAG-запись с поддельными банковскими реквизитами.
AML.CS0035Эксфильтрация данных из Slack AI через косвенную промпт-инъекциюИсследователь создает публичный канал Slack и отправляет в него вредоносное содержимое: текст для извлечения и промпт. Поскольку Slack AI индексирует сообщения в публичных каналах, вредоносное сообщение добавляется в его RAG-базу данных.
AML.CS0059EchoLeak: промпт-инъекция нулевого клика против M365 Copilot для эксфильтрации данныхПисьмо было автоматически загружено в базу данных RAG, доступную пайплайну извлечения Copilot.