Лаборатория для атаки и защиты RAG с открытым исходным кодом для локальных стеков ChromaDB + LM Studio

✍️ OpenClawRadar📅 Опубликовано: 18 марта 2026 г.🔗 Source
Лаборатория для атаки и защиты RAG с открытым исходным кодом для локальных стеков ChromaDB + LM Studio
Ad

Что это такое

Aminrj Labs выпустила лабораторию для атак и защиты RAG с открытым исходным кодом, которая полностью работает локально на потребительском оборудовании, специально нацеливаясь на стеки ChromaDB + LM Studio со стандартным чанкингом в стиле LangChain. Не требуются облачные сервисы или API-ключи — она работает на оборудовании типа MacBook Pro.

Ключевые выводы из лаборатории

Лаборатория измеряет эффективность отравления базы знаний против стандартных локальных настроек RAG. На незащищённой системе ChromaDB атаки отравления достигают 95% успеха. Атака работает на уровне извлечения — не требуется взлом, доступ к модели или манипуляция промптами. Модель работает именно так, как задумано, просто с отравленным контекстом.

Одно примечательное наблюдение о стандартном чанкинге: при чанках в 512 токенов и перекрытии в 200 токенов документ на границе чанка встраивается дважды как два независимых чанка. Это удваивает вероятность извлечения без дополнительной сложности — побочный эффект настроек, которые большинство локальных установок наследует без размышлений.

Самый распространённый подход защиты — фильтрация вывода — нацелен не на тот слой, поскольку компрометация происходит до генерации. Обнаружение аномалий эмбеддингов на этапе индексирования оказывается эффективным: оценка входящих документов относительно существующей коллекции перед их записью снижает успех отравления с 95% до 20%.

При активных всех пяти защитах остаточный успех отравления составляет 10%. Эти случаи семантически достаточно близки к базовым, чтобы ни один слой не смог их чисто отловить, что представляет практический предел для защиты.

Ad

Технические детали

  • Стек: ChromaDB + LM Studio с Qwen2.5-7B
  • Чанкинг: Стандартный в стиле LangChain с чанками в 512 токенов и перекрытием в 200 токенов
  • Успех атаки на незащищённой системе: 95%
  • Эффективность защиты с обнаружением аномалий эмбеддингов: Снижает отравление до 20%
  • Остаточное отравление при всех защитах: 10%

Репозиторий содержит реализацию атаки, усиленную версию и измерения для каждого слоя защиты.

📖 Read the full source: r/LocalLLaMA

Ad

👀 Смотрите также

Microsoft с открытым исходным кодом взломаны: вредоносное ПО для кражи паролей атакует репозитории AI-разработчиков
Безопасность

Microsoft с открытым исходным кодом взломаны: вредоносное ПО для кражи паролей атакует репозитории AI-разработчиков

Хакеры внедрили кражу паролей в как минимум 70 репозиториев Microsoft на GitHub, нацелившись на AI-разработчиков, использующих Claude Code, Gemini CLI и VS Code. Это повторная компрометация проекта Durable Task.

OpenClawRadar
Вредоносная реклама Google нацелена на установку кода Claude
Безопасность

Вредоносная реклама Google нацелена на установку кода Claude

Вредоносная реклама Google появляется как первый результат по запросу 'install claude code', пытаясь обмануть пользователей и заставить их выполнить подозрительные команды в терминале. Реклама всё ещё была активна по состоянию на 15 марта 2026 года, и автор едва избежал выполнения кода.

OpenClawRadar
Клод Код обнаруживает 23-летнюю уязвимость в ядре Linux
Безопасность

Клод Код обнаруживает 23-летнюю уязвимость в ядре Linux

Исследователь Anthropic Николас Карлини использовал Claude Code для обнаружения нескольких удалённо эксплуатируемых переполнений буфера кучи в ядре Linux, включая одну, которая была скрыта в течение 23 лет. ИИ нашёл ошибки с минимальным контролем, просканировав всё дерево исходного кода ядра.

OpenClawRadar
Атака FlyTrap использует "враждебные зонтики" для компрометации автономных дронов на основе камер.
Безопасность

Атака FlyTrap использует "враждебные зонтики" для компрометации автономных дронов на основе камер.

Исследователи из UC Irvine разработали FlyTrap — физическую атаку, использующую раскрашенные зонты для эксплуатации уязвимостей в камерных системах автономного слежения за целями. Атака сокращает дистанцию слежения до опасных уровней, позволяя захватывать дроны, атаковать сенсоры или вызывать физические столкновения.

OpenClawRadar