Retrieval Pivot Attacks in Hybrid RAG: Measuring and Mitigating Amplified Leakage from Vector Seeds to Graph Expansion

Cette étude révèle que les pipelines RAG hybrides combinant recherche vectorielle et graphes de connaissances introduisent un risque de fuite de données par « pivot » entre locataires, qu'il est possible d'éliminer efficacement en réappliquant les contrôles d'autorisation spécifiquement à la frontière d'expansion du graphe.

L'essentiel

Voici une explication simple de ce papier de recherche, imagée avec des métaphores du quotidien.

🕵️‍♂️ Le Problème : L'Effet "Porte Dérobée" dans les IA d'Entreprise

Imaginez que votre entreprise utilise une intelligence artificielle (IA) très intelligente pour répondre aux questions des employés. Pour être efficace, cette IA utilise deux outils combinés :

1. Une bibliothèque de documents (Recherche Vectorielle) : Comme un bibliothécaire qui cherche des livres en fonction du sujet.
2. Un grand réseau de connexions (Graphe de Connaissances) : Comme un immense tableau blanc où tout est relié à tout (les gens, les projets, les entreprises partenaires).

Le scénario catastrophe :
Un employé de l'ingénierie demande : "Comment fonctionne notre serveur d'authentification ?"

• Étape 1 (Sûre) : Le bibliothécaire lui donne les documents techniques autorisés. C'est bon.
• Étape 2 (Le piège) : L'IA regarde ces documents, repère le mot "Serveur d'authentification", et dit : "Ah, ce mot est aussi relié à d'autres choses dans notre grand réseau !"
• Le Pivot (La faille) : L'IA traverse le réseau et découvre que ce même mot est aussi utilisé dans des documents confidentiels du département des Ressources Humaines (salaires) ou de la sécurité financière.
• Résultat : L'IA, sans le vouloir, mélange les documents techniques autorisés avec des secrets d'entreprise interdits et les affiche à l'employé.

C'est ce que les auteurs appellent une "Attaque par Pivot de Récupération". Le mot clé ("Serveur d'authentification") agit comme un pont secret entre une zone sécurisée et une zone interdite.

---

🧱 Pourquoi est-ce arrivé ? (L'Analogie du "Confused Deputy")

Imaginez un gardien de sécurité (le système de recherche) qui vérifie vos badges à l'entrée d'un bâtiment (la bibliothèque). Il vous laisse entrer dans le hall principal.

Mais une fois dans le hall, vous rencontrez un ascenseur automatique (le graphe de connaissances). Cet ascenseur a le badge "Maître" : il peut aller à tous les étages, même ceux interdits au public.

• Le gardien a bien vérifié votre badge pour vous laisser entrer dans le hall.
• Mais l'ascenseur, lui, ne vérifie pas votre badge à chaque étage. Il vous emmène simplement là où les liens vous mènent.

Dans les systèmes hybrides actuels, l'IA fait exactement cela : elle vérifie l'accès au début, mais oublie de le vérifier à chaque étape de son exploration dans le réseau.

---

📊 Ce que les chercheurs ont découvert

Les chercheurs ont testé cette faille sur trois types de données :

1. Un simulateur d'entreprise (1000 documents).
2. Les emails réels d'Enron (50 000 emails).
3. Des rapports financiers officiels (SEC EDGAR).

Leurs conclusions choquantes :

• Pas besoin d'être un hacker : Même sans injecter de faux documents malveillants, la structure naturelle de l'entreprise suffit. Les employés partagent souvent les mêmes noms de fournisseurs, de logiciels ou de projets. Ces "ponts naturels" permettent de fuir vers des zones interdites.
• Le chiffre magique "2" : Dans tous les cas, la fuite de données se produit exactement à 2 sauts (2 "hops").
  • Saut 0 : Le document autorisé.
  • Saut 1 : L'entité partagée (ex: "Microsoft", "Jean Dupont").
  • Saut 2 : Le document secret qui n'aurait jamais dû être vu.
• L'amplification : En passant du système simple au système hybride, le risque de fuite a été multiplié par 160 à 194 fois.

---

🛡️ La Solution : Le "Check-point" à chaque étage

Heureusement, la solution est simple et peu coûteuse. Les chercheurs proposent une défense appelée "Autorisation à chaque saut" (Per-hop Authorization).

L'analogie du contrôle d'accès :
Au lieu de laisser l'ascenseur aller partout, on installe un scanner de badge à chaque étage.

• Avant que l'IA ne saute du document A vers l'entité B, puis vers le document C, elle doit s'arrêter et demander : "Est-ce que cet utilisateur a le droit de voir ce document spécifique ?"
• Si la réponse est non, le chemin s'arrête net.

Les résultats de cette solution :

• Sécurité totale : Le risque de fuite tombe à 0%.
• Rapidité : Cela ne ralentit presque pas le système (moins de 1 milliseconde de retard).
• Efficacité : L'IA continue de donner de bonnes réponses avec les documents autorisés, mais elle ne fuit plus jamais vers les secrets.

---

💡 En résumé

Ce papier nous dit que mélanger deux technologies sûres (recherche de texte + réseaux de connaissances) crée une nouvelle faille de sécurité si on ne fait pas attention aux "ponts" entre elles.

C'est comme construire une maison très sécurisée avec une porte blindée, mais oublier de verrouiller la fenêtre du grenier qui donne sur le toit du voisin. La solution n'est pas de détruire la maison, mais simplement de vérifier qui a le droit d'ouvrir chaque fenêtre, à chaque fois que l'on change de pièce.

Résumé technique

Voici un résumé technique détaillé de l'article de recherche « Retrieval Pivot Attacks in Hybrid RAG: Measuring and Mitigating Amplified Leakage from Vector Seeds to Graph Expansion » (Attaques par pivot de récupération dans les RAG hybrides : Mesure et atténuation de la fuite amplifiée des graines vectorielles vers l'expansion de graphe).

---

1. Problématique : La Vulnérabilité de la Frontière de Pivot

L'article identifie une nouvelle faille de sécurité critique dans les pipelines RAG (Retrieval-Augmented Generation) hybrides, qui combinent la recherche par similarité vectorielle avec l'expansion via des graphes de connaissances (Knowledge Graphs) pour améliorer le raisonnement multi-sauts.

• Le Contexte : Les systèmes hybrides récupèrent d'abord des « graines » (chunks de texte) via une base vectorielle (souvent filtrée par des métadonnées de locataire/tenant), puis utilisent ces graines pour explorer un graphe de connaissances via des liens d'entités (NER) afin de rassembler un contexte structuré.
• La Faille (Pivot Boundary) : L'auteur définit la frontière de pivot comme le point de transition entre la récupération vectorielle et l'expansion du graphe.
  • Le moteur de recherche vectoriel applique des contrôles d'accès (ex: filtrage par tenant_id).
  • Cependant, le moteur d'expansion du graphe, qui possède accès à l'intégralité du graphe, hérite de la « graine » autorisée mais ne réapplique pas les contraintes d'accès lors de la traversée des nœuds d'entité.
• Le Mécanisme d'Attaque : Une graine autorisée (ex: un document technique public) mentionne une entité partagée (ex: un fournisseur commun, un service d'authentification). Cette entité sert de pont vers des voisinages graphiques contenant des données sensibles d'autres locataires (ex: salaires RH, audits financiers). L'expansion du graphe traverse ce pont et injecte silencieusement des données non autorisées dans le contexte du LLM.
• Nature de la menace : Contrairement aux attaques par injection de données malveillantes, cette vulnérabilité est structurelle. Elle existe même sans attaque active, simplement grâce aux entités partagées naturellement dans les environnements multi-locataires.

2. Méthodologie et Métriques

Les auteurs ont formalisé ce risque et développé un cadre d'évaluation rigoureux.

A. Formalisation du Risque

• Retrieval Pivot Risk (RPR) : Probabilité qu'un contexte de récupération contienne au moins un élément non autorisé.
• Leakage@k : Nombre d'éléments non autorisés dans le contexte.
• Amplification Factor (AF) : Ratio de fuite entre le pipeline hybride et le pipeline purement vectoriel (montrant que l'hybride crée du risque là où le vectoriel n'en a pas).
• Pivot Depth (PD) : Distance minimale (en sauts) depuis la graine vectorielle jusqu'au premier nœud sensible.

B. Jeux de Données et Expérimentation

Les expériences ont été menées sur trois corpus distincts pour valider la généralisation :

1. Corpus Synthétique d'Entreprise : 1 000 documents, 4 locataires, 2 785 nœuds.
2. Corpus Enron : 50 000 e-mails, 5 départements (données réelles, bruitées).
3. Corpus SEC EDGAR : 887 sections de rapports 10-K, 4 secteurs industriels.

C. Stratégies d'Attaque

Les auteurs ont défini quatre attaques non adaptatives (A1-A4) exploitant la frontière de pivot :

• A1 (Seed Steering) : Orienter les requêtes vers des chunks contenant des entités pivots.
• A2 (Entity Anchor) : Injecter des chunks denses en mentions d'entités sensibles.
• A3 (Neighborhood Flooding) : Augmenter la densité locale autour d'une entité cible.
• A4 (Bridge Node) : Créer des liens artificiels entre les graphes de différents locataires.

3. Résultats Clés

Les résultats démontrent une amplification massive des fuites de données dans les systèmes hybrides non défendus.

• Amplification Critique :

  • Le pipeline purement vectoriel (P1) présente un RPR = 0.0 (aucune fuite).
  • Le pipeline hybride non défendu (P3) présente un RPR ≈ 0.95 sur le corpus synthétique (95% des requêtes entraînent une fuite).
  • Le facteur d'amplification (AF) atteint 160 à 194 fois par rapport au vecteur seul.
  • Sur Enron, le RPR est de 0.695, et sur EDGAR de 0.085, prouvant que le problème est inhérent aux données réelles.

• Signature Structurelle (PD = 2) :

  • Toutes les fuites se produisent exactement à 2 sauts (PD = 2).
  • Saut 0 : Chunk autorisé (vectoriel).
  • Saut 1 : Nœud d'entité partagé (sans étiquette de locataire).
  • Saut 2 : Chunk non autorisé (connecté à l'entité).
  • C'est une invariance structurelle des graphes bipartites (Chunk-Entité) utilisés dans ces architectures.

• Fuite Organique :

  • L'attaque fonctionne sans injection de données malveillantes. Les requêtes bénignes (ex: « Quelle est l'infrastructure de ce service ? ») suffisent à déclencher la fuite via des entités partagées naturellement (fournisseurs, normes de conformité, personnel commun).

4. Contributions et Défenses

L'article propose une taxonomie de cinq défenses en couches (D1-D5) et identifie la solution minimale suffisante.

• D1 : Autorisation par Saut (Per-Hop Authorization) :

  • Mécanisme : Réévaluer les contrôles d'accès (locataire et sensibilité) à chaque étape de l'expansion du graphe, et non seulement au début.
  • Résultat : Élimine 100% des fuites (RPR → 0.0) sur tous les corpus et toutes les attaques.
  • Coût : Négligeable (< 1 ms de latence).
  • Impact : Réduit la taille du contexte de 110 à ~56 éléments (en retirant le contenu non autorisé tout en gardant le contenu autorisé).
  • Note : Cette défense filtre actuellement les nœuds d'entités (car ils n'ont pas de locataire), ce qui coupe le chemin de pivot. Une version plus fine pourrait autoriser le passage des entités tout en bloquant les chunks sensibles.

• D2-D5 (Optimisations) :

  • Les autres défenses (liste blanche d'arêtes, budget de traversal, pondération par confiance, filtrage à la fusion) agissent comme des optimisations de qualité de contexte ou des couches de défense supplémentaires, mais D1 est la seule nécessaire pour la sécurité.

5. Signification et Implications

• Changement de Paradigme de Sécurité : La sécurité ne peut plus être assurée uniquement au niveau de la récupération vectorielle. La composition de deux systèmes sécurisés (vecteur + graphe) crée une nouvelle surface d'attaque à leur interface.
• Problème de Placement de la Frontière : La faille est un « bug de placement de frontière » (boundary placement bug). Le moteur de graphe agit comme un « sous-traitant confus » (confused deputy) qui exécute des opérations au nom d'un utilisateur restreint mais avec des privilèges étendus.
• Recommandation Pratique : Tout déploiement RAG hybride doit implémenter une vérification d'autorisation par saut (D1) avant l'assemblage du contexte final. C'est une correction logicielle simple qui ne nécessite pas de changement de modèle ni d'infrastructure complexe.
• Impact sur les Systèmes Agents : Le risque est exacerbé dans les systèmes d'agents autonomes (ex: LangGraph) où l'agent décide lui-même de la profondeur de l'exploration, rendant l'absence de contrôle par saut encore plus dangereuse.

En résumé, cet article démontre que les pipelines RAG hybrides actuels sont intrinsèquement vulnérables aux fuites de données inter-locataires en raison de l'absence de contrôle d'accès lors de l'expansion du graphe, et propose une solution simple et efficace (D1) pour éradiquer ce risque.