该论文提出了一种针对基于知识图谱的检索增强生成（Graph RAG）系统的结构知识窃取攻击方法，称为GraphSteal。Graph RAG通过将知识图谱集成到检索管道中，使大语言模型能够利用结构化知识中的实体、关系和多跳依赖。然而，这种结构化知识同时引入了新的隐私风险：攻击者可以通过黑盒交互将Graph RAG系统转化为结构化预言机，逐步获取足够的关联证据以重建隐藏知识图谱的大部分内容。论文提出的重构框架包含两种策略：深度优先启发式搜索（Depth-Wise Heuristic Search）通过递归扩展以实体为中心的线索来提取细粒度的节点属性；广度优先扩散搜索（Breadth-Wise Diffusion Search）通过沿关系诱导的邻域传播来推断图拓扑。在通用医疗场景下的实验表明，该方法能从代表性Graph RAG系统中恢复超过90%的原始知识图谱，高保真地揭示敏感实体、关系和结构依赖。现有防护措施对此攻击的防御效果有限，凸显了保护Graph RAG管道中结构隐私的固有困难。该研究主要面向LLM安全、隐私保护以及RAG系统设计的研究人员。

该论文系统性地研究了检索增强生成（RAG）系统在知识库投毒攻击下的鲁棒性，重点关注不同RAG架构之间的差异。现有攻击几乎只在简单的“检索-生成”流水线上测试，而本文首次评估了四种典型RAG架构：vanilla RAG（标准流水线）、agentic RAG（智能体式检索）、MADAM-RAG（多智能体辩论）和Recursive Language Models（递归语言模型）。实验基于921个Natural Questions问答对，在单文档投毒（N=1）场景下比较了干净基线、简单注入和一种名为CorruptRAG-AK的对抗攻击——该攻击利用元认知框架针对可信度评估进行攻击。核心发现：架构是影响对抗鲁棒性的高可变因素。在CorruptRAG-AK攻击下，各架构的攻击成功率差异显著：vanilla RAG高达81.9%，而RLM仅24.4%，跨度近58个百分点，尽管它们在干净数据上的准确率相近（约92%）。进一步分解发现，一旦投毒文档被检索到，攻击优势主要来自对抗性框架（而非检索优化），且脆弱性集中在内容推理阶段。MADAM-RAG在重新实现中表现出最高的矛盾检测率，但LLM评判器过度识别了该行为（精确率约48.5%），因此报告值为上限。即便检测到矛盾，MADAM-RAG也无法可靠解决，导致即使是干净输入也有41.4%的非回答率（不过可能与实现偏差有关）。论文引入了一个七类别行为分类法，涵盖了矛盾检测、模糊回答及失败模式等，超越了二元准确率。代码、数据和笔记本已公开可用。适合关注LLM安全、RAG系统防护及对抗鲁棒性研究的读者。