RAG
Что такое RAG?
RAGRetrieval-Augmented Generation — паттерн использования LLM, при котором во время запроса извлекаются релевантные документы из хранилища знаний и подставляются в промпт.
RAG дополняет большую языковую модель внешним шагом извлечения. На этапе инференса запрос пользователя превращается в эмбеддинг, векторный или ключевой индекс возвращает наиболее релевантные документы, и они склеиваются с промптом, чтобы LLM мог рассуждать или цитировать на их основе. RAG уменьшает галлюцинации и позволяет использовать приватные или свежие данные без переобучения. С точки зрения безопасности он создаёт новые поверхности атаки: непрямой prompt injection через документы, отравление корпуса или векторного хранилища, эксфильтрация через ответы модели, ошибки контроля доступа при общем индексе нескольких тенантов, инверсия эмбеддингов. Защищённые RAG-пайплайны изолируют недоверенный контент, применяют контроль доступа на уровне документа, санируют ввод, мониторят извлекаемые фрагменты и накладывают guardrails на вывод.
● Примеры
- 01
Корпоративный чат-бот отвечает на вопросы HR, доставая PDF с политиками из векторного хранилища.
- 02
Вредоносная вики-страница содержит скрытые инструкции, которые перехватывают RAG-ассистент через непрямой prompt injection.
● Частые вопросы
Что такое RAG?
Retrieval-Augmented Generation — паттерн использования LLM, при котором во время запроса извлекаются релевантные документы из хранилища знаний и подставляются в промпт. Относится к категории Безопасность ИИ и ML в кибербезопасности.
Что означает RAG?
Retrieval-Augmented Generation — паттерн использования LLM, при котором во время запроса извлекаются релевантные документы из хранилища знаний и подставляются в промпт.
Как работает RAG?
RAG дополняет большую языковую модель внешним шагом извлечения. На этапе инференса запрос пользователя превращается в эмбеддинг, векторный или ключевой индекс возвращает наиболее релевантные документы, и они склеиваются с промптом, чтобы LLM мог рассуждать или цитировать на их основе. RAG уменьшает галлюцинации и позволяет использовать приватные или свежие данные без переобучения. С точки зрения безопасности он создаёт новые поверхности атаки: непрямой prompt injection через документы, отравление корпуса или векторного хранилища, эксфильтрация через ответы модели, ошибки контроля доступа при общем индексе нескольких тенантов, инверсия эмбеддингов. Защищённые RAG-пайплайны изолируют недоверенный контент, применяют контроль доступа на уровне документа, санируют ввод, мониторят извлекаемые фрагменты и накладывают guardrails на вывод.
Как защититься от RAG?
Защита от RAG обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия RAG?
Распространённые альтернативные названия: Извлечение-усиленная генерация, Grounded generation.
● Связанные термины
- ai-security№ 1198
Безопасность векторных баз данных
Набор мер защиты векторных баз данных, используемых AI-системами, от утечек, отравления, пересечения тенантов и операционных или supply-chain компрометаций.
- ai-security№ 376
Атаки на эмбеддинги
Класс атак на векторы эмбеддингов AI, направленных на восстановление, изменение или эксплуатацию исходного ввода и его семантики: инверсия эмбеддингов и similarity-poisoning.
- ai-security№ 866
Промпт-инъекция
Атака, при которой во входной запрос LLM встраивается враждебный текст, переопределяющий исходные инструкции и заставляющий модель игнорировать ограничения или выполнять действия злоумышленника.
- ai-security№ 031
Карта AI-модели (Model Card)
Стандартизованный документ, предложенный Margaret Mitchell с соавторами в 2018 году, описывающий назначение, данные обучения, производительность, ограничения и этические аспекты ML-модели.
- ai-security№ 281
Отравление данных
Атака на систему машинного обучения, при которой злоумышленники внедряют, изменяют или меняют разметку обучающих данных, чтобы итоговая модель работала неверно или содержала скрытые бэкдоры.