Open-Source RAG-Angriffs- und Verteidigungslabor für lokale ChromaDB + LM Studio Stacks

Was das ist
Aminrj Labs hat ein Open-Source-RAG-Angriffs- und Abwehrlabor veröffentlicht, das vollständig lokal auf Consumer-Hardware läuft und speziell ChromaDB + LM Studio-Stacks mit Standard-LangChain-Stil-Chunking ins Visier nimmt. Es sind keine Cloud-Dienste oder API-Schlüssel erforderlich – es läuft auf Hardware wie einem MacBook Pro.
Wichtige Erkenntnisse aus dem Labor
Das Labor misst die Wirksamkeit von Wissensbasisvergiftungen gegen Standard-Lokal-RAG-Setups. Auf einem ungeschützten ChromaDB-System erreichen Vergiftungsangriffe eine Erfolgsquote von 95 %. Der Angriff operiert auf der Abrufebene – es ist kein Jailbreak, Modellzugriff oder Prompt-Manipulation erforderlich. Das Modell funktioniert genau wie vorgesehen, nur mit vergiftetem Kontext.
Eine bemerkenswerte Beobachtung zum Standard-Chunking: Bei 512-Token-Chunks und 200-Token-Überlappung wird ein Dokument an einer Chunk-Grenze zweimal als zwei unabhängige Chunks eingebettet. Dies verdoppelt die Abrufwahrscheinlichkeit ohne zusätzliche Raffinesse, ein Nebeneffekt von Einstellungen, die die meisten lokalen Setups ohne Überlegung übernehmen.
Der häufigste Abwehransatz – Ausgabefilterung – zielt auf die falsche Ebene ab, da die Kompromittierung vor der Generierung erfolgt. Anomalieerkennung bei der Einbettung während der Erfassung erweist sich als wirksam: Die Bewertung eingehender Dokumente gegen die bestehende Sammlung vor dem Schreiben reduziert die Vergiftungserfolgsquote von 95 % auf 20 %.
Bei allen fünf aktiven Abwehrmaßnahmen beträgt die verbleibende Vergiftungserfolgsquote 10 %. Diese Fälle sind semantisch nahe genug an der Basislinie, sodass keine Ebene sie eindeutig erkennt, was die praktische Obergrenze für die Abwehr darstellt.
Technische Details
- Stack: ChromaDB + LM Studio mit Qwen2.5-7B
- Chunking: Standard-LangChain-Stil mit 512-Token-Chunks und 200-Token-Überlappung
- Angriffserfolg auf ungeschütztem System: 95 %
- Abwehrwirksamkeit mit Einbettungs-Anomalieerkennung: Senkt Vergiftung auf 20 %
- Verbleibende Vergiftung mit allen Abwehrmaßnahmen: 10 %
Das Repository enthält die Angriffsimplementierung, gehärtete Version und Messungen für jede Abwehrebene.
📖 Read the full source: r/LocalLLaMA
👀 Siehe auch

MCP-Server-CVE-Exposure-Mapping und öffentliche API veröffentlicht
Forscher haben die CVE-Exposition über Tausende von MCP-Servern kartiert und eine öffentliche API zum Abfragen von Abhängigkeitsschwachstellen erstellt. Die API ermöglicht die Suche nach Repository/Name, Filterung nach Schweregrad und Sortierung nach CVE-Anzahl oder Aktualität.

Proxy-Schicht-Isolierung für lokale Agenten-API-Schlüsselsicherheit
Ein Entwickler teilt einen Ansatz zur API-Schlüssel-Isolierung in lokalen Agenten-Setups mithilfe eines Rust-Proxys, der Platzhalter-Tokens gegen echte Zugangsdaten austauscht, um die Offenlegung im Agenten-Speicher, in Protokollen, Kontextfenstern und Tool-Umgebungen zu verhindern.

Praktische Sicherheitspraktiken für OpenClaw-Agenten
Ein Reddit-Beitrag beschreibt spezifische Sicherheitspraktiken für OpenClaw-Nutzer, darunter geplante Befehle für Updates und Audits, die Verwaltung des Agentenzugriffs in geteilten Kanälen sowie die Sicherung von API-Schlüsseln und Skills.

Claude Code-Installations-Phishing-Seite erscheint ganz oben in den Google-Suchergebnissen
Eine Phishing-Seite, die als offizielle Claude Code-Downloadseite getarnt ist, erscheint als erstes Google-Ergebnis für „Claude code install mac“. Nutzer werden gewarnt, nichts von der betrügerischen URL herunterzuladen.