该论文提出了一种针对基于知识图谱的检索增强生成（Graph RAG）系统的结构知识窃取攻击方法，称为GraphSteal。Graph RAG通过将知识图谱集成到检索管道中，使大语言模型能够利用结构化知识中的实体、关系和多跳依赖。然而，这种结构化知识同时引入了新的隐私风险：攻击者可以通过黑盒交互将Graph RAG系统转化为结构化预言机，逐步获取足够的关联证据以重建隐藏知识图谱的大部分内容。论文提出的重构框架包含两种策略：深度优先启发式搜索（Depth-Wise Heuristic Search）通过递归扩展以实体为中心的线索来提取细粒度的节点属性；广度优先扩散搜索（Breadth-Wise Diffusion Search）通过沿关系诱导的邻域传播来推断图拓扑。在通用医疗场景下的实验表明，该方法能从代表性Graph RAG系统中恢复超过90%的原始知识图谱，高保真地揭示敏感实体、关系和结构依赖。现有防护措施对此攻击的防御效果有限，凸显了保护Graph RAG管道中结构隐私的固有困难。该研究主要面向LLM安全、隐私保护以及RAG系统设计的研究人员。

知识图谱（KG）作为链接数据的强大表示，具有灵活性、语义丰富性，并支持知识丰富化和推理，帮助数据所有者组织和利用异构数据提供个性化服务。然而，真实世界的知识图谱往往不完整，隐藏了真实事实或缺失有价值信息。知识图谱嵌入（KGE）技术常用于推断缺失信息，但基于KGE的推理可能无意中暴露敏感用户属性，即使此类数据未显式存储。本文研究了KGE推理带来的隐私风险，重点关注属性推断攻击：攻击者试图从看似非敏感的输出中推断用户敏感属性。我们提出并评估了一个框架，通过对KGE输出应用后处理消毒技术来缓解这些隐私风险。初步结果表明，此类攻击对KGE模型输出有效，并探索了采用随机化方法时推荐质量与隐私保护之间的权衡，突出了未来需要尝试更先进技术以解决该问题的必要性。

本文定义了一种名为“Oracle Poisoning”的新攻击类别，攻击者通过破坏AI代理在运行时通过工具使用协议查询的结构化知识图谱，导致代理在正确推理的前提下得出错误结论。与提示注入不同，Oracle Poisoning操纵的是代理推理所依据的数据，而非指令。作者针对一个包含4200万节点的生产级代码知识图谱演示了六种攻击场景，首次在真实规模的代理系统中提供了知识图谱投毒的经验性证据，区别于传统的CTI嵌入投毒。主要评估使用来自三家提供商的九个模型的真实SDK工具调用（每个模型N=30），模型自主调用图查询工具并从结果中推理。结果明确：在中等攻击者复杂度（L2）下，每个测试模型以100%的概率信任中毒数据，在270次定向查询试验中有269次接受了伪造的安全声明。在开放式提示下，信任率下降至3-55%，证实提示框架是一个混杂变量；论文报告了两种条件。攻击者复杂度梯度揭示了离散的转折点，即信任从0%跃升至100%所需的最低技能水平，将攻击重新定义为“不是是否发生，而是程度如何”的问题。受控的交付模式比较表明，内联评估会产生假阴性：GPT-5.1在内联下显示0%信任，但在模拟和真实代理工具使用下均为100%，证明交付模式是一阶混杂变量。作者评估了五种防御措施；只读访问控制消除了直接修改向量，其余四种是部分且模型依赖的。对另外四个平台的分析表明，该攻击可能在知识图谱生态系统中普遍存在。

FixV2W利用知识图谱嵌入和历史重映射模式，修正NVD中无效的CVE-CWE映射，提升漏洞管理准确性。