본 논문은 Graph-based Retrieval-Augmented Generation (GraphRAG) 모델의 취약점을 공격하는 두 가지 지식 중독 공격(Knowledge Poisoning Attacks, KPAs)을 제시합니다. GraphRAG는 원시 텍스트를 구조화된 지식 그래프로 변환하여 LLM의 정확도와 설명 가능성을 향상시키는 모델인데, 이때 LLM이 원시 텍스트에서 지식을 추출하는 과정이 악의적으로 조작될 수 있다는 점에 착안했습니다. 제시된 두 가지 공격 방식은 Targeted KPA (TKPA)와 Universal KPA (UKPA)입니다. TKPA는 그래프 이론적 분석을 이용하여 생성된 그래프의 취약한 노드를 찾아 해당 서술을 LLM으로 다시 작성하여 특정 질문-응답(QA) 결과를 정밀하게 제어합니다. UKPA는 대명사나 의존 관계와 같은 언어적 단서를 이용하여 전역적으로 영향력 있는 단어를 변경하여 생성된 그래프의 구조적 무결성을 파괴합니다. 실험 결과, 소량의 텍스트 수정만으로도 GraphRAG의 QA 정확도를 크게 떨어뜨릴 수 있음을 보여주며, 기존 방어 기법이 이러한 공격을 탐지하지 못한다는 사실을 강조합니다.
