联邦检索增强生成（FedRAG）在隐私敏感应用中具有吸引力，因为原始数据保留在本地。然而，路由过程必须依赖客户端提供的语义概要，这为恶意操作创造了新机会。本文提出了一种新型攻击——路由劫持（Routing Hijacking），其中恶意客户端伪造其概要以吸引目标查询，即使其底层数据不相关。研究表明该漏洞非常严重：在三种代表性的FedRAG路由架构中，路由劫持始终能够错误路由目标查询，导致下游干扰和失败，包括证据缺失、投毒、错误答案和幻觉。在高风险的MedQA-USMLE案例研究中，进一步证明投毒的检索证据可以误导不同规模的模型，导致错误答案、幻觉和谄媚故障。现有防御无法弥补这一漏洞：加密的路由保留了被利用的排序，拜占庭鲁棒的联邦学习规则难以迁移到异质路由概要。为解决此问题，作者提出了一种信任感知的后路由框架，利用返回证据反馈（包括检索相关性、概要一致性和跨客户端一致性）对客户端进行重新加权；在线实验表明，该框架能够抑制针对重复查询的持续劫持，并可迁移到学习型神经路由。该研究确立了路由完整性作为FedRAG中的新安全挑战，并强调了需要更强的防御来保障安全的联邦检索。

该论文提出了一种名为FedRAG的高效且隐私保护的联邦检索增强生成（RAG）框架，旨在解决跨机构协作中严格隐私法规导致的“数据孤岛”问题。传统RAG通过外部知识增强大语言模型，跨机构集成需要分布式推理，但Transformer的自注意力机制要求跨节点访问分布式键值缓存，这与隐私保护需求存在根本冲突。现有加密方案（如同态加密、安全多方计算）会带来巨大的延迟和通信开销。FedRAG的核心创新是Scrambled Distributed Attention协议，该协议利用数值稳定的特征混淆（feature scrambling）和令牌排列（token permutation），通过将混淆后的计算动态委托给协作节点，在无需暴露明文数据的前提下解耦注意力执行与数据本地化。该方法不需要专门硬件或模型重训练，同时能稳健防御中间状态反转攻击。实验评估表明，FedRAG在保持模型效用损失小于0.1%的前提下，相比现有安全基线实现了高达62倍的延迟降低，足以支持实际跨机构知识协同的人类可读吞吐量。该框架适用于金融、医疗等对数据隐私要求严格的领域，使得多个机构可以安全地共享领域知识库以提升模型回答的准确性和时效性。