Retrieval Pivot Attacks in Hybrid RAG: Measuring and Mitigating Amplified Leakage from Vector Seeds to Graph Expansion

Este artículo identifica y cuantifica el riesgo de "Retrieval Pivot" en los sistemas híbridos RAG, donde la combinación de búsqueda vectorial y expansión de grafos permite filtraciones de datos entre inquilinos sin necesidad de inyección maliciosa, demostrando que aplicar controles de autorización en el límite de expansión del grafos mitiga eficazmente estas fugas con un mínimo sobrecosto.

Lo esencial

Imagina que tu empresa tiene una biblioteca gigante de documentos confidenciales (salarios, secretos de ingeniería, datos financieros). Para que los empleados puedan encontrar información rápida, la empresa usa un sistema inteligente llamado RAG Híbrido.

Este sistema funciona como un detective con dos herramientas:

1. El Buscador de Palabras Clave (Vector): Busca documentos que suenan similares a lo que preguntas.
2. El Experto en Conexiones (Gráfico de Conocimiento): Una vez que encuentra un documento, este experto mira las "etiquetas" de ese documento (nombres de personas, empresas, sistemas) y busca todo lo demás que está conectado a esas etiquetas.

El Problema: La "Puerta Giratoria" Segura

El artículo de Scott Thornton descubre un fallo de seguridad muy astuto en cómo se combinan estas dos herramientas. Lo llama "Ataque de Pivotaje de Recuperación".

Aquí tienes la analogía para entenderlo:

Imagina que eres un ingeniero de una empresa llamada "Acme". Tienes permiso para ver los planos de los servidores de tu empresa.

1. Paso 1 (El Buscador): Pides "¿Cómo configuramos los servidores?". El sistema te muestra un documento autorizado de Acme. ¡Perfecto!
2. Paso 2 (El Experto en Conexiones): El sistema ve que en ese documento se menciona a un proveedor común llamado "CloudCorp". Como el sistema es "experto", piensa: "¡Ah! CloudCorp también aparece en los documentos de la empresa vecina 'Globex' y en los archivos confidenciales de Recursos Humanos. Debo mostrarte todo eso también para darte contexto".

Aquí está el desastre: El sistema te muestra, junto con tus planos seguros, los salarios confidenciales de los empleados de Globex o los planes secretos de seguridad de otra empresa.

¿Por qué pasa esto?
Porque el sistema tiene una "puerta giratoria" (el límite entre el buscador y el experto).

• La primera puerta (el buscador) revisa tu identificación y te deja entrar solo a la sección de Acme.
• Pero la segunda puerta (el experto que conecta los puntos) olvida revisar tu identificación. Asume que porque empezaste en un documento seguro, todo lo que toque ese documento también es seguro.

Es como si un guardia de seguridad te dejara entrar a un edificio, pero una vez dentro, un camarero te dijera: "Como ya estás aquí, toma esta llave maestra y entra a todas las oficinas, incluso las de la empresa de al lado".

La Sorpresa: No necesitas ser un Hacker

Lo más inquietante del estudio es que no necesitas ser un hacker malvado para que esto suceda.

• Ataque con inyección: Un hacker podría escribir documentos falsos para conectar cosas, pero...
• Ataque Orgánico (El verdadero peligro): ¡Ya existe! En el mundo real, las empresas comparten proveedores, usan los mismos sistemas de seguridad o tienen empleados en común. Esas conexiones naturales actúan como puentes. Si preguntas sobre algo común (como "¿Cómo funciona el sistema de autenticación?"), el sistema cruzará esos puentes naturales y te mostrará información que no deberías ver, simplemente porque los datos están conectados en el gráfico.

En sus pruebas, el sistema filtró información secreta en el 95% de las preguntas normales, ¡sin que nadie intentara hackearlo!

La Solución: El "Guardia de Paso"

El paper propone una solución sencilla pero muy efectiva, llamada Autorización por Paso (D1).

La analogía:
Imagina que el sistema de búsqueda es un viaje en metro.

• Sin defensa: Te compras un boleto para la estación A. El tren te deja en A, pero luego el conductor te dice: "Como ya estás en el tren, puedes bajarte en cualquier estación, incluso la de la zona VIP".
• Con la defensa (D1): Cada vez que el tren intenta detenerse en una nueva estación (cada vez que el sistema conecta un dato nuevo), un nuevo guardia revisa tu boleto.
  • ¿Tienes permiso para bajar en esta estación?
  • Si la estación es de "Recursos Humanos" y tú eres de "Ingeniería", el guardia te dice: "No, aquí no puedes bajar".

Resultados de la solución:

• Seguridad total: El 100% de las fugas de información se detienen.
• Velocidad: Añade menos de 1 milisegundo de retraso (es imperceptible).
• Eficiencia: No necesitas cambiar todo el sistema, solo añadir esa pequeña revisión en cada paso de la conexión.

En Resumen

El paper nos dice que combinar la búsqueda de texto con la búsqueda de conexiones (gráficos) crea un nuevo agujero de seguridad. Es como construir un puente entre dos islas seguras, pero olvidar poner un control de seguridad en el puente mismo.

La buena noticia es que la solución es fácil: revisar tu permiso cada vez que el sistema salta de un dato a otro. Si lo hacemos, podemos tener sistemas inteligentes y seguros al mismo tiempo.

Resumen técnico

Resumen Técnico: Ataques de Pivotación de Recuperación en RAG Híbrido

1. El Problema: La Vulnerabilidad de la "Frontera de Pivotación"

El artículo identifica una nueva y crítica vulnerabilidad de seguridad en los sistemas RAG Híbrido (Recuperación Aumentada por Generación) que combinan la búsqueda por similitud vectorial con la expansión de gráficos de conocimiento (Knowledge Graphs).

• El Contexto: Los sistemas RAG híbridos recuperan primero "fragmentos semilla" (chunks) mediante búsqueda vectorial y luego utilizan la mención de entidades en esos fragmentos para navegar por un gráfico de conocimiento y obtener contexto adicional para el razonamiento multi-paso.
• La Vulnerabilidad: Existe un fallo de diseño en la transición entre la recuperación vectorial y la expansión del gráfico, denominada "Frontera de Pivotación" (Pivot Boundary).
  • La recuperación vectorial aplica filtros de inquilino (tenant) y sensibilidad antes de devolver los resultados.
  • Sin embargo, el motor de expansión del gráfico a menudo no re-verifica estas restricciones al navegar desde las entidades compartidas hacia otros fragmentos.
  • El Ataque: Un fragmento autorizado (semilla) puede mencionar una entidad compartida (ej. un proveedor común, un nombre de servidor, un estándar de cumplimiento). El gráfico utiliza esta entidad para saltar a fragmentos de otros inquilinos o de niveles de sensibilidad más altos (confidenciales/restringidos), filtrando datos no autorizados en el contexto del LLM sin que el usuario tenga permiso para acceder a ellos.
• Naturaleza del Riesgo: A diferencia de los ataques de inyección de datos maliciosos, este riesgo es estructural. Ocurre orgánicamente en cualquier implementación multi-tenant donde los inquilinos comparten entidades del mundo real, incluso sin la intervención de un atacante.

2. Metodología y Definiciones

Los autores formalizan el riesgo y proponen un marco de evaluación riguroso:

• Definición del Riesgo (RPR): Introducen el Riesgo de Pivotación de Recuperación (Retrieval Pivot Risk - RPR), que mide la probabilidad de que el contexto de recuperación contenga elementos no autorizados.
• Métricas Clave:
  • Leakage@k: Cantidad de elementos no autorizados en el contexto.
  • Factor de Amplificación (AF): Cuánto aumenta la fuga de datos en el sistema híbrido en comparación con la recuperación puramente vectorial.
  • Profundidad de Pivotación (PD): El número mínimo de saltos (hops) desde la semilla vectorial hasta el primer nodo sensible no autorizado.
• Conjuntos de Datos (Corpora):
  1. Corpus Sintético Empresarial: 1,000 documentos, 4 inquilinos, 2,785 nodos. Diseñado para simular una empresa con datos compartidos.
  2. Corpus Enron: 50,000 correos electrónicos reales, 5 departamentos.
  3. Corpus SEC EDGAR: 887 secciones de informes 10-K de 20 empresas en 4 sectores.
• Escenarios de Ataque: Evalúan cuatro estrategias de ataque no adaptativas (A1-A4) que manipulan la semilla, las entidades, la densidad del gráfico o crean nodos puente, así como ataques adaptativos contra las defensas.

3. Contribuciones Clave

1. Formalización del Riesgo de Composición: Demuestran que combinar dos modalidades de recuperación seguras por separado (vectorial y gráfica) crea una superficie de ataque compuesta nueva.
2. Descubrimiento de la Invariante Estructural (PD = 2): Identifican que en los gráficos bipartitos (fragmento-entidad), toda la fuga de datos ocurre exactamente a 2 saltos:
   • Salto 0: Fragmento autorizado (vector).
   • Salto 1: Nodo de entidad compartido (sin etiquetas de inquilino).
   • Salto 2: Fragmento no autorizado (conectado a la entidad).
3. Validación Orgánica: Demuestran que la fuga ocurre sin necesidad de inyección de datos maliciosos; las conexiones naturales entre inquilinos (proveedores, personal compartido) son suficientes para explotar la vulnerabilidad.
4. Solución de Defensa Eficiente: Proponen y validan una defensa simple pero efectiva que elimina el riesgo con un costo de latencia mínimo.

4. Resultados Experimentales

Los resultados son contundentes y muestran una diferencia drástica entre sistemas vectoriales puros y sistemas híbridos sin defensa:

• Fuga Masiva en Sistemas No Defendidos:
  • En el corpus sintético, el RAG híbrido sin defensa (P3) tiene un RPR ≈ 0.95 (el 95% de las consultas generan fuga).
  • El Factor de Amplificación (AF) es de 160x a 194x en comparación con la recuperación puramente vectorial (que tiene RPR = 0.0).
  • En consultas benignas (sin ataque intencional), el 95.4% de las consultas provocaron fuga de datos a través de entidades compartidas naturales.
• Profundidad de Pivotación: En los tres corpus (Sintético, Enron, EDGAR), la fuga ocurre consistentemente a PD = 2. Esto confirma que es una propiedad estructural de la arquitectura bipartita, independiente del tamaño de los datos o el dominio.
• Efectividad de la Defensa (D1):
  • La implementación de Autorización por Salto (Per-hop Authorization) en la frontera de expansión del gráfico reduce el RPR a 0.0 en todos los corpus y contra todos los tipos de ataques.
  • Costo de Rendimiento: La defensa añade menos de 1ms de latencia.
  • Utilidad: A diferencia de bloquear todo el gráfico, esta defensa retiene el contenido autorizado expandido, ofreciendo 5.6 veces más contexto que un sistema puramente vectorial, manteniendo la seguridad.

5. Significado e Implicaciones

• Cambio de Paradigma en Seguridad RAG: El trabajo demuestra que la seguridad en RAG no puede depender únicamente de los filtros previos a la recuperación (vectorial). La autorización debe ser re-evaluada en cada paso de la navegación del gráfico.
• Riesgo en Sistemas Autónomos: La vulnerabilidad es especialmente crítica en sistemas de agentes (Agentic RAG), donde un agente puede navegar autónomamente por el gráfico sin supervisión humana, amplificando la exposición a datos sensibles.
• Solución Práctica: La solución propuesta (D1) no requiere cambios en los modelos de lenguaje ni en la infraestructura de bases de datos, sino simplemente aplicar la lógica de control de acceso existente (etiquetas de tenant/sensibilidad) en el momento de la expansión del gráfico.
• Conclusión Final: La vulnerabilidad no es un problema de complejidad de defensa, sino un problema de colocación de la frontera de autorización. Ignorar esta frontera en arquitecturas híbridas garantiza la fuga de datos en entornos multi-tenant.

En resumen, el artículo advierte que la adopción de RAG híbrido sin las debidas salvaguardas en la interfaz vector-gráfico introduce un riesgo de fuga de datos masivo y estructural, y proporciona la métrica y la solución técnica necesaria para mitigarlo.