GraphRAG-Systeme hacken: Attacke stiehlt bis zu 90 % der Graphdaten

Neue Forschung zeigt, dass Graph-basierte Retrieval‑Augmented‑Generation‑Systeme – kurz GraphRAG – unter realistischen Anfragebeschränkungen leicht ausgenutzt werden können. Während frühere Studien bereits auf das Leck von Teilgraphen hingewiesen haben, wurde bislang nicht untersucht, wie effizient ein Angreifer die komplette, latente Entitäts‑Beziehungsstruktur rekonstruieren kann.

In einem Black‑Box‑Szenario, in dem ein Angreifer seine Abfragen adaptiv anpasst, präsentiert das Team die AGEA‑Methode (Agentic Graph Extraction Attack). Das System kombiniert eine neuheitsorientierte Exploration‑Exploitation‑Strategie, externe Graph‑Speichermodule und einen zweistufigen Extraktionsprozess: Zunächst werden leichtgewichtige Entdeckungsabfragen gestellt, anschließend filtert ein großes Sprachmodell die gewonnenen Knoten und Kanten, um die Genauigkeit zu erhöhen.

Die Evaluierung erstreckte sich über medizinische, agrarwirtschaftliche und literarische Datensätze und wurde sowohl auf Microsoft‑GraphRAG als auch auf LightRAG durchgeführt. Unter identischen Anfragebudgets konnte AGEA bis zu 90 % der Knoten und Beziehungen mit hoher Präzision zurückgewinnen – deutlich besser als bisherige Angriffsbaselines.

Diese Ergebnisse verdeutlichen, dass moderne GraphRAG‑Systeme trotz strenger Anfragebeschränkungen stark anfällig für strukturierte, agentische Extraktionsangriffe sind. Entwickler und Anwender sollten daher sofort Maßnahmen zur Absicherung ihrer Graphdaten ergreifen.