본 논문은 Graph-based Retrieval-Augmented Generation (GraphRAG) 모델의 취약점을 공격하는 두 가지 지식 중독 공격(Knowledge Poisoning Attacks, KPAs)을 제안합니다. GraphRAG는 원시 텍스트를 구조화된 지식 그래프로 변환하여 LLM의 정확성과 설명력을 향상시키는 모델이지만, 그래프 생성 과정에서 LLM이 원시 텍스트에서 지식을 추출하는 과정이 악의적으로 조작될 수 있습니다. 논문에서는 표적 지식 중독 공격(Targeted KPA, TKPA)과 범용 지식 중독 공격(Universal KPA, UKPA) 두 가지 공격 방법을 제시합니다. TKPA는 그래프 이론적 분석을 이용하여 생성된 그래프에서 취약한 노드를 찾아 해당 서술을 LLM으로 다시 작성하여 특정 질문응답(QA) 결과를 정확하게 제어합니다(성공률 93.1%). UKPA는 대명사나 의존 관계와 같은 언어적 단서를 이용하여 전반적으로 영향력 있는 단어를 변경하여 생성된 그래프의 구조적 무결성을 깨뜨립니다. 전체 텍스트의 0.05% 미만을 수정하여 QA 정확도를 95%에서 50%로 떨어뜨립니다. 실험 결과, 최첨단 방어 기법조차 이러한 공격을 탐지하지 못함을 보여주며, GraphRAG 파이프라인을 지식 중독으로부터 보호하는 것은 아직 미개척 분야임을 강조합니다.
