RAGFort schützt KI-Modelle vor Datenklau – Dual-Path-Defense für RAG-Systeme

Retrieval‑Augmented‑Generation‑Modelle, die auf proprietären Wissensdatenbanken basieren, stehen zunehmend vor der Gefahr, dass Angreifer durch gezielte Rekonstruktionsattacken die gesamte Datenbank nachbauen. Diese Angriffe sammeln systematisch die Antworten des Modells, um das zugrunde liegende Wissen zu rekonstruieren.

Die Angriffe nutzen zwei unterschiedliche Pfade: intra‑klassische Pfade, die feinkörnige Informationen innerhalb eines Themas extrahieren, und inter‑klassische Pfade, die Wissen über semantisch verwandte Themen hinweg diffundieren lassen. Durch die Kombination beider Pfade können Angreifer ein umfassendes Bild der ursprünglichen Datenbank gewinnen.

Aktuelle Abwehrmechanismen konzentrieren sich meist nur auf einen dieser Pfade, wodurch der andere ungeschützt bleibt. In einer systematischen Untersuchung wurde gezeigt, dass eine getrennte Schutzstrategie für jeden Pfad allein nicht ausreicht – eine gemeinsame, doppelte Verteidigung ist entscheidend.

Auf dieser Basis wurde RAGFort entwickelt, ein struktur‑sensitiver Dual‑Module‑Ansatz. Er kombiniert „contrastive reindexing“, um inter‑klassische Isolation zu gewährleisten, mit „constrained cascade generation“, das intra‑klassische Sicherheit bietet. Experimente in den Bereichen Sicherheit, Leistung und Robustheit zeigen, dass RAGFort die Erfolgsrate von Rekonstruktionsangriffen deutlich senkt, während die Qualität der Antworten nahezu unverändert bleibt.