Avaliação Comparativa de Ataques e Defesas de Extração de Conhecimento em Geração Aumentada por Recuperação
Benchmarking Knowledge-Extraction Attack and Defense on Retrieval-Augmented Generation
February 10, 2026
Autores: Zhisheng Qi, Utkarsh Sahu, Li Ma, Haoyu Han, Ryan Rossi, Franck Dernoncourt, Mahantesh Halappanavar, Nesreen Ahmed, Yushun Dong, Yue Zhao, Yu Zhang, Yu Wang
cs.AI
Resumo
A Geração Aumentada por Recuperação (RAG) tornou-se uma pedra angular de aplicações intensivas em conhecimento, incluindo chatbots empresariais, assistentes de saúde e gestão de memória agentiva. No entanto, estudos recentes mostram que ataques de extração de conhecimento podem recuperar conteúdo sensível da base de dados por meio de consultas maliciosamente elaboradas, levantando sérias preocupações sobre roubo de propriedade intelectual e violação de privacidade. Embora trabalhos anteriores tenham explorado técnicas individuais de ataque e defesa, o cenário de pesquisa permanece fragmentado, abrangendo embeddings de recuperação heterogéneos, modelos de geração diversos e avaliações baseadas em métricas não padronizadas e conjuntos de dados inconsistentes. Para colmatar esta lacuna, introduzimos o primeiro benchmark sistemático para ataques de extração de conhecimento em sistemas RAG. O nosso benchmark abrange um amplo espetro de estratégias de ataque e defesa, modelos representativos de embeddings de recuperação, e geradores de código aberto e proprietários, todos avaliados sob uma estrutura experimental unificada com protocolos padronizados em múltiplos conjuntos de dados. Ao consolidar o panorama experimental e permitir uma avaliação reproduzível e comparável, este benchmark fornece informações acionáveis e uma base prática para o desenvolvimento de sistemas RAG que preservem a privacidade face às ameaças emergentes de extração de conhecimento. O nosso código está disponível aqui.
English
Retrieval-Augmented Generation (RAG) has become a cornerstone of knowledge-intensive applications, including enterprise chatbots, healthcare assistants, and agentic memory management. However, recent studies show that knowledge-extraction attacks can recover sensitive knowledge-base content through maliciously crafted queries, raising serious concerns about intellectual property theft and privacy leakage. While prior work has explored individual attack and defense techniques, the research landscape remains fragmented, spanning heterogeneous retrieval embeddings, diverse generation models, and evaluations based on non-standardized metrics and inconsistent datasets. To address this gap, we introduce the first systematic benchmark for knowledge-extraction attacks on RAG systems. Our benchmark covers a broad spectrum of attack and defense strategies, representative retrieval embedding models, and both open- and closed-source generators, all evaluated under a unified experimental framework with standardized protocols across multiple datasets. By consolidating the experimental landscape and enabling reproducible, comparable evaluation, this benchmark provides actionable insights and a practical foundation for developing privacy-preserving RAG systems in the face of emerging knowledge extraction threats. Our code is available here.