Лаборатория для атаки и защиты RAG с открытым исходным кодом для локальных стеков ChromaDB + LM Studio

Что это такое
Aminrj Labs выпустила лабораторию для атак и защиты RAG с открытым исходным кодом, которая полностью работает локально на потребительском оборудовании, специально нацеливаясь на стеки ChromaDB + LM Studio со стандартным чанкингом в стиле LangChain. Не требуются облачные сервисы или API-ключи — она работает на оборудовании типа MacBook Pro.
Ключевые выводы из лаборатории
Лаборатория измеряет эффективность отравления базы знаний против стандартных локальных настроек RAG. На незащищённой системе ChromaDB атаки отравления достигают 95% успеха. Атака работает на уровне извлечения — не требуется взлом, доступ к модели или манипуляция промптами. Модель работает именно так, как задумано, просто с отравленным контекстом.
Одно примечательное наблюдение о стандартном чанкинге: при чанках в 512 токенов и перекрытии в 200 токенов документ на границе чанка встраивается дважды как два независимых чанка. Это удваивает вероятность извлечения без дополнительной сложности — побочный эффект настроек, которые большинство локальных установок наследует без размышлений.
Самый распространённый подход защиты — фильтрация вывода — нацелен не на тот слой, поскольку компрометация происходит до генерации. Обнаружение аномалий эмбеддингов на этапе индексирования оказывается эффективным: оценка входящих документов относительно существующей коллекции перед их записью снижает успех отравления с 95% до 20%.
При активных всех пяти защитах остаточный успех отравления составляет 10%. Эти случаи семантически достаточно близки к базовым, чтобы ни один слой не смог их чисто отловить, что представляет практический предел для защиты.
Технические детали
- Стек: ChromaDB + LM Studio с Qwen2.5-7B
- Чанкинг: Стандартный в стиле LangChain с чанками в 512 токенов и перекрытием в 200 токенов
- Успех атаки на незащищённой системе: 95%
- Эффективность защиты с обнаружением аномалий эмбеддингов: Снижает отравление до 20%
- Остаточное отравление при всех защитах: 10%
Репозиторий содержит реализацию атаки, усиленную версию и измерения для каждого слоя защиты.
📖 Read the full source: r/LocalLLaMA
👀 Смотрите также

Microsoft с открытым исходным кодом взломаны: вредоносное ПО для кражи паролей атакует репозитории AI-разработчиков
Хакеры внедрили кражу паролей в как минимум 70 репозиториев Microsoft на GitHub, нацелившись на AI-разработчиков, использующих Claude Code, Gemini CLI и VS Code. Это повторная компрометация проекта Durable Task.

Вредоносная реклама Google нацелена на установку кода Claude
Вредоносная реклама Google появляется как первый результат по запросу 'install claude code', пытаясь обмануть пользователей и заставить их выполнить подозрительные команды в терминале. Реклама всё ещё была активна по состоянию на 15 марта 2026 года, и автор едва избежал выполнения кода.

Клод Код обнаруживает 23-летнюю уязвимость в ядре Linux
Исследователь Anthropic Николас Карлини использовал Claude Code для обнаружения нескольких удалённо эксплуатируемых переполнений буфера кучи в ядре Linux, включая одну, которая была скрыта в течение 23 лет. ИИ нашёл ошибки с минимальным контролем, просканировав всё дерево исходного кода ядра.

Атака FlyTrap использует "враждебные зонтики" для компрометации автономных дронов на основе камер.
Исследователи из UC Irvine разработали FlyTrap — физическую атаку, использующую раскрашенные зонты для эксплуатации уязвимостей в камерных системах автономного слежения за целями. Атака сокращает дистанцию слежения до опасных уровней, позволяя захватывать дроны, атаковать сенсоры или вызывать физические столкновения.