该论文研究了检索增强生成（RAG）增强的大型语言模型（LLM）系统面临的推理成本攻击（ICA）问题。RAG系统通过多阶段流水线动态检索并合成外部知识，虽然提升了性能，但也带来了高昂的推理成本。现有ICA攻击通常假设可以直接操纵提示，这在实践中难以实现。作者认为，通过投毒外部知识库（如互联网上的网页知识）是一种更可行且更具威胁的攻击方式。为此，他们提出了一种新的攻击范式——检索增强推理成本攻击（RA-ICA），通过向外部知识语料库注入恶意文档来大幅增加RAG系统的推理计算成本。为实现该攻击，设计了CREEP（Computational Resource Exhaustion via External Poisoning）框架，该框架利用LLM代理自动生成既在语义上与查询相关、又能导致推理阶段token消耗异常增加的恶意文档。为了提升攻击效果，还提出了一种新的强化学习算法MA-GRPO（Memory-Augmented Group Relative Policy Optimization），通过从历史最优对抗文档的动态记忆中学习来微调攻击代理。在三个真实数据集上的大量实验表明，RA-ICA能够将token消耗提升高达13.12倍，成功率超过90%，同时不损害生成答案的完整性。该研究揭示了RAG系统在推理成本方面的新安全漏洞，对部署RAG服务的组织具有重要警示意义。