研究人员证实：篡改失窃数据可破坏 AI 模型输出准确性

中国科学院与南洋理工大学的联合研究团队，研发出一款名为AURA的新型防护框架，专门用于保护图检索增强生成（GraphRAG）系统中的专有知识图谱，使其免遭窃取与非法滥用。

该研究成果于一周前发表于学术预印本平台 arXiv。论文指出，通过向知识图谱中注入看似真实的虚假数据，可使被盗取的图谱副本对攻击者完全失效，同时确保授权用户的正常使用不受影响。

知识图谱是支撑各类高级 GraphRAG 应用的核心技术，其应用场景覆盖辉瑞的药物研发、西门子的智能制造等关键领域，承载着价值数百万美元的海量知识产权。

现实中的多起数据泄露事件印证了知识图谱面临的安全风险：2018 年，谷歌旗下自动驾驶公司 Waymo 的一名工程师窃取了 1.4 万份激光雷达数据文件；2020 年，黑客通过欧洲药品管理局系统，窃取了辉瑞 – 生物科技联合研发的疫苗相关数据。

攻击者窃取知识图谱的核心目的，是私自复刻 GraphRAG 系统的功能优势。这类窃取行为能够规避水印技术的追踪 —— 水印技术需要获取模型输出结果才能生效；同时也能绕过加密技术的防护 —— 加密会降低低延迟查询的响应速度。

传统防护手段在攻击者离线私自使用失窃图谱的场景下完全失效。尽管欧盟《人工智能法案》与美国国家标准与技术研究院（NIST）的相关框架均强调数据韧性的重要性，但针对这一防护空白，此前始终没有有效的解决方案。

AURA 框架的数据掺假防护策略

AURA 框架跳出了传统的 “防御窃取” 思路，转而采用“降低失窃数据价值”的全新防护路径：它会在知识图谱的关键节点中注入 “掺假数据”，也就是模仿真实数据结构的虚假三元组。

框架通过最小顶点覆盖算法筛选关键节点：针对小规模知识图谱，采用整数线性规划算法实现自适应求解；针对大规模知识图谱，则采用Malatya启发式算法，确保以最少的修改覆盖图谱的全部关联边。

掺假数据的生成兼顾结构合理性与语义一致性：借助 TransE、RotatE 等链接预测模型保障数据结构可信，同时依托大语言模型实现语义层面的连贯。在掺假数据的筛选阶段，研究团队采用基于语义偏差值的影响驱动策略，通过计算句子嵌入向量的欧式距离，为每个节点挑选破坏性最强的掺假数据。

授权系统可通过嵌入在数据中的高级加密标准加密元数据标记（以 “备注” 属性形式存在），在数据检索后利用密钥过滤掉掺假内容，该机制经验证可达到选择明文攻击下的不可区分性（IND-CPA）安全级别。

研究团队基于 MetaQA、WebQSP、FB15k-237、HotpotQA 四大主流数据集，结合 GPT-4o、Gemini-2.5-flash、通义千问 2.5-7B、Llama2-7B 四款大模型开展测试。结果显示，该框架可使94%—96% 的正确答案转为错误输出（危害评分 HS），且掺假数据的检索命中率（ARR）达到 100%。

数据集	GPT-4o 危害评分	数据保真度（CDPA）	延迟增幅
MetaQA	94.7	100%	1.20%
WebQSP	95.0	100%	14.05%
FB15k-237	94.3	100%	1.50%
HotpotQA	95.6	100%	2.98%

测试同时证实，AURA 注入的掺假数据能够有效规避各类检测与净化手段：ODDBALL 异常检测算法的识别率仅为 4.1%，Node2Vec 算法识别率仅为 3.3%；SEKA 数据净化工具的清除率仅为 5.5%，知识图谱嵌入（KGE）技术的清除率也仅为 19.8%。在多跳推理场景下，危害评分随推理步数上升而提高，三跳推理时危害评分达到 95.8%，且该效果在各类检索工具及微软 GraphRAG 等先进框架中均保持稳定。

消融实验验证了混合生成策略的显著优势：纯大语言模型生成的掺假数据易被结构校验机制识别，而纯链接预测模型生成的掺假数据则存在语义缺陷。

实验还发现，每个节点仅注入一条掺假数据，就能使危害评分稳定在 94% 以上的高水平；增加掺假数据的数量，仅能带来边际效益的小幅提升。

该框架目前存在两项局限性：一是尚未解决节点文本描述的防护问题，二是无法完全规避内部人员的数据提纯风险，但可通过 API 访问管控机制缓解这一隐患。AURA 框架开创性地提出了知识图谱知识产权保护的 “主动降级”理念，与 “投毒攻击检索增强生成”“知识图谱投毒攻击” 等攻击性投毒技术，以及 “检索增强生成水印” 等被动水印技术形成鲜明区别。

随着 GraphRAG 技术的普及应用，微软、谷歌、阿里巴巴等科技巨头均已开始布局该防护领域，AURA 框架的落地将为企业抵御人工智能时代的数据窃取攻击提供强有力的技术支撑。

---

消息来源：cybersecuritynews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；