Retrieval Pivot Attacks in Hybrid RAG: Measuring and Mitigating Amplified Leakage from Vector Seeds to Graph Expansion

Il documento dimostra che le pipeline ibride RAG, combinando ricerca vettoriale ed espansione su grafo, introducono un nuovo rischio di sicurezza chiamato "Retrieval Pivot Attacks" che permette la fuoriuscita di dati tra tenant attraverso entità condivise, ma evidenzia che tale vulnerabilità può essere eliminata efficacemente applicando controlli di autorizzazione al confine di espansione del grafo.

L'essenziale

Immagina di avere un bibliotecario super intelligente (l'Intelligenza Artificiale) che lavora per una grande azienda con molti dipartimenti diversi: Ingengeria, Finanza, Risorse Umane e Sicurezza.

Ogni dipartimento ha i suoi documenti segreti. Per sicurezza, il bibliotecario ha due regole:

1. La Regola del Vettore (Il Catalogo): Se un dipendente chiede informazioni, il bibliotecario controlla prima il catalogo digitale. Se il dipendente non ha il permesso, non gli mostra nemmeno i titoli dei libri. Fin qui, tutto sicuro.
2. La Regola del Grafico (Le Connessioni): Ma il bibliotecario è anche molto curioso. Se trova un libro che sembra interessante, guarda i "nodi" (le persone, le aziende o i progetti citati nel libro) e corre a cercare altri libri collegati a quelle stesse persone o progetti, per darti un contesto più completo.

Il Problema: Il "Passaggio di Chiavi" (L'Attacco Pivot)

Il problema scoperto in questo articolo è come il bibliotecario passa da una regola all'altra. È come se ci fosse un ponte pericoloso tra il catalogo e la ricerca delle connessioni.

Ecco la scena del crimine:

1. Un ingegnere chiede: "Come funziona il nostro server di autenticazione?"
2. Il bibliotecario controlla il catalogo (Regola 1): "Ok, ecco i documenti tecnici autorizzati per l'ingegneria." (Sicuro).
3. Poi, il bibliotecario guarda i documenti trovati e vede citato un nome: "CloudCorp" (un fornitore esterno usato da tutti i dipartimenti).
4. Qui avviene il Pivot (la svolta): Il bibliotecario, entusiasta di trovare una connessione, corre nel "Grafico" (la rete di tutti i documenti collegati a CloudCorp).
5. L'errore fatale: Nel grafico, il nome "CloudCorp" è collegato anche ai documenti salariali riservati del dipartimento Risorse Umane e ai dati finanziari segreti.
6. Poiché il bibliotecario non ha controllato di nuovo se l'ingegnere aveva il permesso di vedere quei documenti specifici, li prende e li mette sul tavolo dell'ingegnere.

Risultato: L'ingegnere, che aveva chiesto solo una cosa tecnica, si ritrova per sbaglio a leggere gli stipendi dei colleghi o i segreti finanziari dell'azienda. Tutto questo è successo perché il bibliotecario ha usato il nome comune ("CloudCorp") come una chiave per aprire porte che non avrebbe dovuto aprire.

Perché è così pericoloso?

L'articolo dice che questo non richiede hacker malvagi che inseriscono documenti falsi. Succede naturalmente.
Immagina che in un'azienda ci siano persone che lavorano in più dipartimenti, o che usino gli stessi fornitori. Questi "ponti naturali" creano percorsi segreti. Anche se chiedi cose innocue, il sistema può saltare attraverso questi ponti e finire in stanze proibite.

Gli autori hanno misurato questo rischio e hanno scoperto che:

• Senza protezioni, il 95% delle domande innocue finisce per rivelare segreti.
• Il sistema amplifica la fuga di dati di 160 volte rispetto a un sistema che usa solo il catalogo senza le connessioni.
• Il "salto" verso il segreto avviene sempre in 2 passi: Documento Autorizzato -> Persona/Entità Comune -> Documento Segreto.

La Soluzione: Il Controllo di Sicurezza a Ogni Passo

La soluzione proposta è semplice ma rivoluzionaria. Invece di controllare la sicurezza solo all'ingresso (quando cerchi il primo libro), devi controllare la sicurezza ogni volta che il bibliotecario fa un passo nella rete delle connessioni.

Immagina che ogni volta che il bibliotecario prende un nuovo libro collegato a una persona, debba fermarsi e chiedersi: "Ha questo dipendente il permesso di vedere questo libro specifico?".

• Se sì: Continua.
• Se no: Ferma tutto, non prendere quel libro e non guardare i libri collegati a quello.

I Risultati della Soluzione

Gli autori hanno testato questa soluzione (chiamata "Autorizzazione per ogni passo") e i risultati sono stati miracolosi:

1. Sicurezza Totale: La fuga di dati è scesa a zero. Nessuno può più accedere a informazioni non autorizzate, anche se il sistema cerca di collegare tutto.
2. Velocità: Non rallenta quasi per nulla il sistema (aggiunge meno di un millisecondo).
3. Utilità: Il dipendente ottiene ancora molte informazioni utili (i documenti autorizzati), ma senza il "rumore" dei segreti altrui.

In Sintesi

Questo articolo ci insegna che quando uniamo due sistemi sicuri (il catalogo e la rete di connessioni), possiamo creare un buco di sicurezza enorme se non controlliamo il punto in cui si incontrano.

L'analogia finale: È come avere una casa con una porta blindata (il catalogo) e un tunnel segreto che porta in tutte le altre stanze della casa (il grafico). Se apri la porta blindata ma dimentichi di chiudere il tunnel, chiunque entra nella prima stanza può finire nella cassaforte. La soluzione è mettere un guardiano a ogni svolta del tunnel che controlla il passaporto di chi passa, assicurandosi che nessuno entri dove non dovrebbe.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del paper "Retrieval Pivot Attacks in Hybrid RAG: Measuring and Mitigating Amplified Leakage from Vector Seeds to Graph Expansion", tradotta e adattata in italiano.

1. Il Problema: La Vulnerabilità del "Pivot" nell'RAG Ibrido

Il paper identifica una nuova modalità di fallimento della sicurezza nei sistemi Retrieval-Augmented Generation (RAG) ibridi. Questi sistemi combinano la ricerca per similarità vettoriale (che recupera frammenti di testo) con l'espansione su Knowledge Graph (KG) per supportare il ragionamento multi-hop.

• La Vulnerabilità: Il passaggio tra il recupero vettoriale e l'espansione del grafo (definito "Pivot Boundary") crea un punto cieco di sicurezza.
  • Il recupero vettoriale applica correttamente i filtri di autorizzazione (es. tenant ID, livello di sensibilità) prima di restituire i "semi" (seed).
  • Tuttavia, l'espansione del grafo, una volta che un frammento autorizzato viene mappato a un'entità nel grafo, perde questi vincoli. Le entità (es. nomi di fornitori, infrastrutture condivise, standard di conformità) sono spesso condivise tra diversi tenant o livelli di sensibilità.
• Il Meccanismo di Attacco: Un utente autorizzato recupera un documento sicuro (Hop 0). Il sistema mappa le entità in quel documento a nodi nel grafo (Hop 1). Poiché questi nodi entità sono privi di metadati di proprietà (tenant), l'espansione del grafo attraversa liberamente i collegamenti verso altri frammenti di testo (Hop 2) che appartengono ad altri tenant o sono più sensibili.
• Conseguenza: Si verifica una perdita di dati (data leakage) che non esiste nei sistemi RAG puramente vettoriali. L'attaccante non ha bisogno di iniettare dati malevoli; la struttura organica del grafo in ambienti multi-tenant crea percorsi di pivot naturali.

2. Metodologia e Sperimentazione

Gli autori hanno formalizzato il rischio e validato le ipotesi su tre corpora distinti:

• Metriche Proposte:
  • RPR (Retrieval Pivot Risk): Probabilità che il contesto di recupero contenga elementi non autorizzati.
  • Leakage@k: Numero di elementi non autorizzati nel contesto.
  • Amplification Factor (AF): Quanto il rischio ibrido supera la baseline vettoriale.
  • Pivot Depth (PD): Distanza minima (hop) dal seme autorizzato al primo nodo sensibile non autorizzato.
• Corpora di Valutazione:
  1. Corpus Aziendale Sintetico: 1.000 documenti, 4 tenant, 2.785 nodi.
  2. Corpus Enron: 50.000 email reali, 5 dipartimenti, 376.000 nodi.
  3. Corpus EDGAR 10-K: 887 sezioni di report finanziari, 4 settori industriali.
• Attacchi Simulati: Sono stati definiti quattro attacchi non adattivi (A1-A4) che sfruttano il confine vettore-grafo (es. "Seed Steering", "Entity Anchor Injection") e tre attacchi adattivi contro le difese.
• Difese Valutate: Sono state testate cinque strategie di difesa (D1-D5), con un focus particolare sulla Autorizzazione per Hop (D1).

3. Risultati Chiave

I risultati sperimentali sono allarmanti e confermano la natura strutturale della vulnerabilità:

• Amplificazione Estrema:
  • Il sistema RAG puramente vettoriale (P1) ha un RPR = 0.0 (nessuna perdita).
  • Il sistema ibrido non difeso (P3) mostra un RPR ≈ 0.95 nel corpus sintetico (95% delle query recuperano dati non autorizzati) e RPR = 0.695 su Enron.
  • Il fattore di amplificazione (AF) è compreso tra 160x e 194x rispetto alla baseline vettoriale.
• Il Fenomeno "Organico": La vulnerabilità esiste senza iniezione di dati malevoli. Query legittime su infrastrutture condivise (es. "Kubernetes", "CloudCorp") attivano percorsi di pivot attraverso entità condivise, portando a fughe di dati tra tenant o verso livelli di sensibilità più alti.
• Invariante Strutturale (PD = 2): In tutti e tre i corpora, la perdita di dati avviene esattamente a 2 hop (Pivot Depth = 2).
  • Hop 0: Frammento autorizzato (vettore).
  • Hop 1: Entità condivisa (nodo del grafo senza etichetta tenant).
  • Hop 2: Frammento non autorizzato (collegato all'entità).
  • Questo è un invariante strutturale dei grafi bipartiti (Frammento-Entità) usati in questi sistemi.
• Efficacia della Difesa (D1):
  • L'implementazione di Per-Hop Authorization (D1), che ri-controlla i permessi di accesso ad ogni passo dell'espansione del grafo, riduce il RPR a 0.0 in tutti i casi.
  • L'overhead di latenza è trascurabile (<1 ms).
  • La difesa funziona anche contro tentativi di manipolazione dei metadati (fino al 5-10% di corruzione).

4. Contributi Principali

1. Formalizzazione della Vulnerabilità: Identificazione del "Retrieval Pivot Risk" come un nuovo vettore di attacco derivante dalla composizione di due modalità di recupero altrimenti sicure.
2. Metriche Quantitative: Introduzione di metriche standardizzate (RPR, AF, PD) per misurare la gravità delle perdite nei sistemi ibridi.
3. Validazione Cross-Dataset: Dimostrazione che il problema non è un artefatto sintetico, ma si manifesta in dati reali (Enron, EDGAR) con diverse densità di connettività.
4. Soluzione Pratica ed Efficace: Dimostrazione che la vulnerabilità è principalmente un problema di applicazione dei controlli di accesso al confine (boundary enforcement) e non di complessità difensiva. Una singola correzione (D1) risolve il problema.

5. Significato e Implicazioni

• Sicurezza dei Sistemi Ibridi: Il paper avverte che l'adozione di RAG ibridi (supportata da framework come LangChain, LlamaIndex, Microsoft GraphRAG) introduce rischi di sicurezza critici se non si applicano controlli di accesso anche durante l'espansione del grafo.
• Architettura di Difesa: La raccomandazione principale è implementare controlli di autorizzazione per hop (Per-Hop Authorization). Non basta filtrare i dati prima della ricerca vettoriale; è necessario ri-verificare i permessi ogni volta che il sistema attraversa un'entità nel grafo per recuperare nuovi contenuti.
• Impatto sugli Agenti AI: Il rischio è particolarmente elevato nei sistemi agentiche dove un LLM decide autonomamente l'espansione del grafo senza supervisione umana, potenzialmente portando a un'esplorazione illimitata di dati sensibili.
• Compromesso Sicurezza-Utilità: La difesa D1 elimina completamente le perdite mantenendo il 50-60% del contesto espanso autorizzato, offrendo un ottimo compromesso tra sicurezza e qualità della risposta.

In sintesi, il paper dimostra che l'integrazione tra vettori e grafi crea un "bug di posizionamento dei confini" (boundary placement bug) che amplifica esponenzialmente le fughe di dati, ma che questo rischio può essere mitigato efficacemente con un controllo di accesso rigoroso a ogni passo del percorso di navigazione nel grafo.