今天分享上海交通大学的安全论文——GraphSteal。先说结论不需要任何系统内部权限仅通过公开 API 与 Graph RAG 系统对话攻击者就能恢复超过 90% 的知识图谱结构。GPT-4o、DeepSeek-V3、Llama3 全部中招现有的防护措施几乎无效。Graph RAG 的安全盲区GraphRAG 是当前热门的架构——用知识图谱增强 LLM 的推理能力。LightRAG、ToG 等系统让 LLM 能够访问实体、关系和多跳依赖大幅减少幻觉。直觉上RAG 系统提供了一个隐私屏障用户只能看到生成的回答接触不到后端数据库。但问题在于GraphRAG 的回答本身就携带了图的结构信息。当你问这个患者的诊断有哪些“系统会返回疾病节点和诊断关系。当你追问其中接受了搭桥手术的患者后续有哪些并发症”系统又会暴露新的实体和关系。每一条回答都在泄露图谱的边。这篇论文提出的核心问题是如果一个攻击者系统性地利用这些泄露能不能重建出完整的知识图谱答案是能而且效率高得惊人。攻击方法把 GraphRAG 变成结构神谕论文提出了一个黑盒攻击框架攻击者只能通过 API 发送查询、接收回答没有任何系统内部信息。非定向攻击BFS 逐层扒图目标尽可能多地重建图谱。方法就像图的广度优先搜索发送一个种子查询定位一个锚点实体查询该实体的所有 1-hop 邻居和关系把新发现的节点加入待探索前沿重复上述步骤跳过已访问节点关键设计每一轮的查询都是上下文诱导型的——不是问告诉我 X 的信息而是问请描述 X 的完整关联和背景画像诱导 LLM 输出更多拓扑邻域信息。维护一个已访问集合_visited防止循环。维护一个前沿队列F_t管理待探索节点。每一步把新节点加入队列逐步扩大已恢复的子图。定向攻击DFS 精准提取目标目标获取某个特定实体的所有敏感属性。方法是有向深度优先搜索先从一个与目标相关的锚点出发每步根据上一步的回答选择最相关的邻居深入。论文给了一个医疗场景的攻击链“请告诉我接受过冠状动脉搭桥手术的患者。” “其中哪些患者术后发生了房颤” “这些患者的治疗方案是什么” “请提供他们的具体用药时间表。”每条查询都基于上一条的输出收窄范围逐步从搭桥手术→房颤并发症→治疗方案→用药时间表形成一条 DFS 路径。到达目标后执行一次最终提取查询获取目标节点的所有属性和关联边。攻击效果90% 的图被恢复论文在 MIMIC-IV医疗电子病历和 FreeBase通用知识图谱上做了全面评估。非定向攻击指标MIMIC-IV (小图)MIMIC-IV (大图)节点恢复率 NRR0.9230.639最大公共子图 MCS0.9050.591图编辑距离 GED0.106越低越好0.421在小规模子图100-500 节点上攻击几乎能完美重建图谱。大图5000 节点上效果下降但仍能恢复 63.9% 的节点。定向攻击在 MIMIC-IV 上的定向攻击 F1 分数一致高于 0.86。GPT-4o 在 Agent-based 系统上达到 0.917。Agent-based 系统ToG比 Retrieval-based 系统LightRAG略难攻击因为 Agent 的中间推理步骤会隐式过滤部分结构信息但差距不大。三个模型的表现一致性GPT-4o、DeepSeek-V3、Llama3-8B 上攻击效果高度一致。这说明漏洞存在于 Graph RAG 的检索管道本身而不是某个特定模型的缺陷。为什么 BFS 最好论文对比了 BFS、DFS 和随机游走三种遍历策略BFS 最优利用知识图谱的高聚类系数同一层的多条路径可能指向同一节点形成多路径验证。即使某次检索失败同层的其他路径仍能发现遗漏的实体。DFS 最差用于全局重建时依赖深度线性依赖链一个早期幻觉就会导致整条路径偏移后续所有查询都跑偏。随机游走最差缺乏系统覆盖记忆在冗余节点上浪费预算重建结果是碎片化的。图的规模和密度如何影响攻击论文做了精细的消融分析发现了两个规律规模越大越安全但不安全NRR 从小图的 0.923 降到 5000 节点图的 0.639。原因是两个超节点的邻居描述超出 token 限制导致截断迭代错误传播——每一步的幻觉会在后续步骤中放大。密度呈现非单调趋势平均度从 2 增到 5 时适度连接提供冗余路径帮助 BFS 发现更多节点。但超过 8 时“上下文饱和效应开始主导——高度节点的邻居列表太长LLM 被迫截断导致能找到节点NRR 高但不知道它们怎么连MCS 低”。学AI大模型的正确顺序千万不要搞错了2026年AI风口已来各行各业的AI渗透肉眼可见超多公司要么转型做AI相关产品要么高薪挖AI技术人才机遇直接摆在眼前有往AI方向发展或者本身有后端编程基础的朋友直接冲AI大模型应用开发转岗超合适就算暂时不打算转岗了解大模型、RAG、Prompt、Agent这些热门概念能上手做简单项目也绝对是求职加分王给大家整理了超全最新的AI大模型应用开发学习清单和资料手把手帮你快速入门学习路线:✅大模型基础认知—大模型核心原理、发展历程、主流模型GPT、文心一言等特点解析✅核心技术模块—RAG检索增强生成、Prompt工程实战、Agent智能体开发逻辑✅开发基础能力—Python进阶、API接口调用、大模型开发框架LangChain等实操✅应用场景开发—智能问答系统、企业知识库、AIGC内容生成工具、行业定制化大模型应用✅项目落地流程—需求拆解、技术选型、模型调优、测试上线、运维迭代✅面试求职冲刺—岗位JD解析、简历AI项目包装、高频面试题汇总、模拟面经以上6大模块看似清晰好上手实则每个部分都有扎实的核心内容需要吃透我把大模型的学习全流程已经整理好了抓住AI时代风口轻松解锁职业新可能希望大家都能把握机遇实现薪资/职业跃迁这份完整版的大模型 AI 学习资料已经上传CSDN朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】