Retrieval Pivot Attacks in Hybrid RAG: Measuring and Mitigating Amplified Leakage from Vector Seeds to Graph Expansion

Este artigo demonstra que os pipelines híbridos de RAG introduzem uma vulnerabilidade de segurança chamada "Risco de Pivotamento de Retorno" (RPR), onde dados sensíveis vazam entre inquilinos através de conexões de grafos iniciadas por vetores, e propõe que a verificação de autorização na fronteira de expansão do grafo é uma mitigação eficaz e de baixo custo para eliminar esse vazamento.

O essencial

Imagine que você tem um assistente de pesquisa muito inteligente (o RAG Híbrido) que trabalha para uma grande empresa com vários departamentos (Engenharia, RH, Finanças, Segurança).

O problema que este artigo descobre é como esse assistente, que deveria ser seguro, acaba vazando segredos de um departamento para outro sem que ninguém perceba.

Aqui está a explicação simples, usando analogias do dia a dia:

1. O Cenário: A Biblioteca e o Mapa do Tesouro

Pense no sistema de pesquisa da empresa como uma combinação de duas ferramentas:

• A Biblioteca (Busca Vetorial): Você pergunta algo, e a biblioteca te entrega os documentos mais parecidos com sua pergunta. Ela é muito boa em saber quem você é. Se você é do RH, ela só te mostra documentos do RH.
• O Mapa do Tesouro (Grafo de Conhecimento): Para responder perguntas complexas, o sistema pega os documentos da biblioteca e olha para um "mapa" que conecta todas as pessoas, sistemas e empresas mencionadas nesses textos. É como se o assistente dissesse: "Ah, você perguntou sobre o servidor 'X', então vou olhar o que o servidor 'X' tem a ver com o fornecedor 'Y' e o projeto 'Z'".

2. O Problema: A "Porta Giratória" Sem Guarda

O artigo chama isso de Ataque de Pivot de Recuperação.

Imagine que você (um engenheiro) pede ao assistente: "Quais são as configurações do nosso servidor de autenticação?"

1. Passo Seguro: A "Biblioteca" te entrega apenas documentos do seu departamento. Tudo certo.
2. O Erro (A Porta Giratória): O assistente pega o nome "servidor de autenticação" e vai para o "Mapa do Tesouro". No mapa, esse servidor é conectado a uma empresa parceira chamada "CloudCorp".
3. O Vazamento: Como o "Mapa" não tem um guarda na porta, ele segue a conexão até "CloudCorp" e, de lá, puxa documentos confidenciais do departamento de Recursos Humanos (que também usam a CloudCorp) e os entrega na sua mesa.

A analogia perfeita: É como se você tivesse um passe para entrar no setor de Engenharia. Você entra, pega um livro que menciona "Cafeteria". O livro diz que a Cafeteria é usada por todos. Sem permissão, o sistema pega você, leva até a Cafeteria e, lá, te entrega os arquivos secretos do cofre da empresa, porque o cofre também fica perto da Cafeteria. O sistema esqueceu de checar se você tem permissão para entrar no cofre, achando que como você entrou na biblioteca, tudo está liberado.

3. Por que isso é perigoso?

O artigo mostra que isso acontece mesmo sem hackers.

• O Inimigo Invisível: Em qualquer empresa grande, departamentos diferentes usam as mesmas ferramentas, falam dos mesmos fornecedores ou têm os mesmos funcionários. Esses "elos comuns" (como o nome "CloudCorp" ou "Maria da Silva") criam caminhos naturais no mapa.
• O Resultado: Um funcionário comum, fazendo uma pergunta simples e legítima, pode acabar lendo salários confidenciais ou planos de segurança de outro departamento. O sistema "amplifica" o vazamento: o que era seguro na biblioteca torna-se perigoso no mapa.

4. A Solução: O Guarda na Porta (Autorização a Cada Passo)

Os autores testaram várias defesas e descobriram que a solução é simples, mas crucial: Checar a permissão em cada passo do caminho.

• A Solução (D1): Sempre que o assistente tenta ir de um documento para uma pessoa/sistema e depois para outro documento no mapa, ele deve parar e perguntar: "Esse novo documento pertence ao departamento do usuário? O usuário tem permissão para ver isso?"
• O Efeito: Se a resposta for "não", o assistente corta o caminho ali mesmo.
  • Vantagem: Isso bloqueia 100% dos vazamentos.
  • Custo: É quase zero. O sistema fica apenas 1 milissegundo mais lento (imperceptível para humanos).
  • Benefício: O assistente continua sendo inteligente e trazendo informações úteis, mas apenas as que o usuário realmente pode ver.

Resumo em uma frase

O artigo descobre que misturar duas tecnologias seguras (busca por texto e busca por conexões) cria uma "porta aberta" onde segredos vazam, e a solução é colocar um guarda que verifica sua identidade a cada nova conexão que o sistema faz, garantindo que você nunca saia do seu próprio departamento.

O que aprendemos? Não basta ter segurança na entrada da biblioteca; você precisa ter segurança em cada corredor e sala que o sistema visita para você.

Resumo técnico

Resumo Técnico: Ataques de Pivotamento de Recuperação em RAG Híbrido

1. O Problema: A Vulnerabilidade na Fronteira Vector-Graph

O artigo identifica uma nova e crítica falha de segurança em pipelines de RAG Híbrido (Recuperação Aumentada por Geração), que combinam busca por similaridade vetorial com expansão de grafos de conhecimento para raciocínio multi-hop.

• O Cenário: Sistemas híbridos recuperam "chunks" de texto via vetores (que são filtrados por inquilino/tenant) e, em seguida, usam entidades mencionadas nesses chunks para navegar em um grafo de conhecimento, buscando contexto estrutural relacionado.
• A Falha (Pivot Boundary): Existe um "bug de colocação de fronteira" análogo a vulnerabilidades de "funcionário confuso" (confused deputy). O motor de expansão do grafo possui acesso a todo o grafo de conhecimento, mas herda apenas a "semente" (o chunk recuperado) do usuário, sem herdar as restrições de acesso do usuário.
• O Mecanismo de Vazamento: Um chunk autorizado (requisitado por um usuário) menciona uma entidade compartilhada (ex: um nome de fornecedor, um serviço de infraestrutura comum). O sistema vincula essa entidade ao grafo e expande a busca para vizinhanças do grafo que contêm dados sensíveis de outros inquilinos ou níveis de classificação mais altos. Isso resulta em vazamento de dados que não ocorreria em um sistema de RAG puramente vetorial.
• Natureza da Ameaça: O vazamento pode ocorrer organicamente, sem necessidade de injeção maliciosa de dados, apenas explorando a estrutura natural de entidades compartilhadas em corpora multi-inquilino.

2. Metodologia e Métricas

Os autores formalizam o risco e propõem um conjunto de métricas para quantificá-lo:

• Risco de Pivotamento de Recuperação (RPR - Retrieval Pivot Risk): A probabilidade de que o contexto de recuperação de uma consulta contenha qualquer item não autorizado.
• Leakage@k: Contagem de itens não autorizados no contexto.
• Fator de Amplificação (AF): A razão entre o vazamento no pipeline híbrido e o vazamento na base vetorial (que é zero, tornando o fator infinito ou regularizado).
• Profundidade de Pivotamento (PD): A distância mínima em hops (saltos) do nó semente até o primeiro nó sensível não autorizado.

Configuração Experimental:

• Corpora Testados:
  1. Corpus Sintético Empresarial: 1.000 documentos, 4 inquilinos, 2.785 nós, 15.514 arestas.
  2. Corpus Enron: 50.000 e-mails, 5 departamentos.
  3. Corpus EDGAR (SEC): 887 seções de relatórios 10-K de 20 empresas.
• Ataques Simulados: Quatro estratégias de ataque não adaptativas (A1-A4) e três adaptativas (A5-A7), variando desde a "direção de sementes" até a "inundação de vizinhança" e "ataques de nós ponte".
• Defesas Testadas: Cinco camadas de defesa (D1-D5), sendo a principal a verificação de autorização por salto (per-hop authorization).

3. Contribuições Principais

1. Formalização da Vulnerabilidade: Definição do RPR e das métricas associadas, demonstrando que a composição de dois modos de recuperação seguros (vetor e grafo) cria uma superfície de ataque composta.
2. Validação em Múltiplos Domínios: Demonstração de que o vazamento ocorre em corpora sintéticos, reais (Enron) e regulatórios (EDGAR), mesmo sem injeção de dados maliciosos (ataques orgânicos).
3. Descoberta Estrutural (PD = 2): A descoberta de que todo o vazamento ocorre exatamente a 2 hops de distância. Isso é uma invariância estrutural de grafos bipartidos (Chunk $\to$ Entidade $\to$ Chunk) usados na ligação de entidades.
4. Solução Eficiente: Identificação de que uma única correção de posicionamento (verificação de autorização na fronteira de expansão do grafo) elimina 100% do vazamento com sobrecarga de latência insignificante.

4. Resultados Chave

• Amplificação do Vazamento:

  • O pipeline híbrido indefeso (P3) apresentou RPR $\approx$ 0,95 no corpus sintético (95% das consultas vazaram dados).
  • O pipeline puramente vetorial (P1) manteve RPR = 0,0.
  • O Fator de Amplificação (AF) foi de 160x a 194x em relação à linha de base vetorial.
  • Em média, 15-18% do contexto de 110 itens consistia em conteúdo não autorizado.

• Padrão de Profundidade (PD = 2):

  • Em todos os três corpora, o vazamento ocorreu estritamente em 2 hops:
    1. Hop 0: Chunk autorizado (vetor).
    2. Hop 1: Nó de entidade compartilhada (sem rótulo de inquilino).
    3. Hop 2: Chunk não autorizado (conectado à entidade).
  • Isso confirma que a vulnerabilidade é estrutural e inerente à topologia de ligação de entidades em RAG híbrido.

• Vazamento Orgânico:

  • Mesmo com consultas benignas (sem intenção maliciosa), 95,4% das consultas no corpus sintético vazaram dados devido a entidades compartilhadas naturais (ex: "CloudCorp", "auth-service", nomes de funcionários comuns).

• Eficácia da Defesa (D1 - Autorização por Salto):

  • A implementação de verificação de autorização em cada salto da expansão do grafo (D1) reduziu o RPR para 0,0 em todos os corpora e variantes de ataque.
  • Custo: Adicionou menos de 1ms de latência.
  • Utilidade: Retém 5,6x mais contexto autorizado do que o RAG puramente vetorial, eliminando apenas o conteúdo não autorizado.
  • As outras defesas (D2-D5) serviram como otimizadores de utilidade (redução de ruído), mas não foram necessárias para a segurança básica, pois D1 já eliminou todo o vazamento.

5. Significado e Implicações

• Mudança de Paradigma de Segurança: O artigo demonstra que a segurança em RAG híbrido não pode ser garantida apenas na camada de recuperação vetorial. A fronteira entre a recuperação vetorial e a expansão do grafo é um ponto crítico que exige re-verificação de permissões.
• Solução Prática e Imediata: A defesa proposta (D1) não requer mudanças no modelo de linguagem (LLM), nem em novos infraestrutura complexa. Ela utiliza os metadados de inquilino e sensibilidade que já existem nos bancos de dados de grafos, exigindo apenas a disciplina de aplicá-los durante a travessia do grafo.
• Risco para Sistemas Agentes: A vulnerabilidade é particularmente perigosa em sistemas de agentes autônomos (ex: LangGraph, CrewAI), onde o agente decide a profundidade da exploração do grafo sem supervisão humana, potencialmente amplificando o vazamento de dados sensíveis.
• Invariância Estrutural: A descoberta de que o vazamento ocorre sempre em 2 hops sugere que qualquer sistema híbrido que utilize grafos bipartidos de chunk-entidade está sujeito a este risco, independentemente do tamanho do corpus ou da qualidade do modelo de NER.

Conclusão:
O artigo conclui que a vulnerabilidade de "Pivotamento de Recuperação" é um problema de aplicação de políticas na fronteira, e não de complexidade de defesa. A implementação de autorização por salto (per-hop authorization) é a medida mínima viável e suficiente para garantir a segurança em pipelines de RAG híbrido, eliminando vazamentos amplificados sem sacrificar a utilidade do sistema.