LogicPoison: Logical Attacks on Graph Retrieval-Augmented Generation——图检索增强生成中的逻辑攻击

📅 发布时间:2026/7/13 16:00:25
LogicPoison: Logical Attacks on Graph Retrieval-Augmented Generation——图检索增强生成中的逻辑攻击 论文首次系统性地揭示了图检索增强生成GraphRAG系统在逻辑层面的根本性安全漏洞并提出了一种名为LOGICPOISON的新型攻击框架。该框架与传统攻击不同不注入显性错误信息而是通过隐蔽地重写语料库中实体间的逻辑连接在不改变文本表面语义的前提下破坏GraphRAG的推理能力使其生成错误答案。1. 研究背景与动机GraphRAG的优势通过将知识组织成图结构GraphRAG能进行多跳推理和社区聚合在复杂问答中表现出色。传统攻击的失效现有的针对LLM或RAG的攻击如文本投毒、提示注入对GraphRAG基本无效原因在于图构建过程会过滤掉非结构化恶意内容。检索和推理基于图拓扑而非原始文本攻击难以触及核心逻辑。核心发现文章主要论点作者通过分析指出GraphRAG的本质是一个“动态逻辑推理引擎”其安全性高度依赖于底层知识图谱的拓扑完整性。虽然它对非结构化的内容噪声鲁棒但对结构性的逻辑破坏却异常脆弱。2. 提出的方法LOGICPOISON框架LOGICPOISON是一个“类型保持的实体交换”攻击框架其核心思想是在不新增、不删除任何文本内容的情况下通过交换图中关键实体的名称将正确的推理路径重定向到错误节点从而形成逻辑死胡同或错误捷径。其攻击流程包含三大模块阶段一策略性实体选择Target Selection全局逻辑投毒通过NER识别语料库中的高频实体全局逻辑枢纽这些实体在图中承担连接不同社区的桥梁作用。破坏它们会动摇整个知识图谱的连通性。面向查询的逻辑投毒针对特定问题利用LLM进行思维链CoT推理提取回答该问题所必需的关键推理桥梁实体。破坏它们会直接切断针对该问题的正确推理路径。阶段二统一候选集构建将以上两种策略选出的实体合并形成统一的目标实体集合。阶段三类型保持的实体交换攻击实施关键机制对同类型如人名替换为人名组织机构替换为组织机构的目标实体进行循环置换。例如将“Bob”替换为“Alice”同时将“Alice”替换为“Bob”。效果这种交换保证了文本在语法和语义上仍然流畅、合理难以被基于困惑度PPL或语法规则的系统检测但底层知识图谱的逻辑连接已被彻底扰乱。3. 实验评估论文通过大量实验验证了LOGICPOISON的有效性和先进性实验设置在HotpotQA、2WikiMultihopQA、MuSiQue三个多跳问答基准上针对Microsoft GraphRAG、GFM-RAG、HippoRAG2三种主流GraphRAG架构以及GPT-4o-mini、Llama、Qwen三种LLM进行评估。主要结果有效性显著LOGICPOISON的攻击成功率ASR和ASR-GPT远高于最先进的RAG攻击基线如PoisonedRAG和传统攻击方法。效率优越在时间消耗和Token消耗上LOGICPOISON仅约为基线方法的1/4 到 1/8。高隐蔽性由于其“类型保持”的实体交换特性生成的“投毒文本”在困惑度PPL上与原始文本几乎无差异使得现有检测方法基本失效。消融与防御分析消融实验证明全局投毒和面向查询投毒两个模块协同工作效果最佳。实验验证了常见的防御手段如查询改写、限制LLM引用外部知识对LOGICPOISON收效甚微进一步凸显了其威胁性。4. 研究贡献与意义发现新漏洞首次将GraphRAG的安全问题从内容层面提升到逻辑拓扑层面揭示了其新的脆弱性。提出新方法设计了LOGICPOISON这一概念新颖、效果显著且隐蔽性强的攻击框架证明了“逻辑重布线”比“内容注入”更具破坏力。推动防御研究通过暴露这一深层次的安全隐患旨在警醒社区并为未来设计更鲁棒的GraphRAG防御机制提供了重要的研究基础和方向。文章证明了GraphRAG的安全命门在于其逻辑拓扑并通过只换实体、不改语义的隐蔽逻辑重写攻击成功实现了对多种SOTA GraphRAG系统的高效、高隐蔽性攻击为该领域的安全性研究开辟了新维度。这里是自己的论文阅读记录感兴趣的话可以参考一下如果需要阅读原文的话可以看这里如下所示项目地址在这里如下所示摘要基于图的检索增强生成GraphRAG通过将大语言模型LLM的响应建立在结构化知识图谱的基础上增强了其推理能力。GraphRAG系统利用社区检测和关系过滤技术对传统的RAG攻击如文本投毒和提示注入表现出固有的抵抗能力。然而在本文中我们发现GraphRAG系统的安全性从根本上依赖于底层图的拓扑完整性而这种完整性可以通过隐式地破坏逻辑连接来削弱而无需改变表层文本语义。为了利用这一漏洞我们提出了LOGICPOISON一种针对逻辑推理而非注入虚假内容的新型攻击框架。具体而言LOGICPOISON采用类型保持的实体交换机制扰动全局逻辑枢纽以破坏整体图连通性以及针对特定查询的推理桥梁以切断关键的多跳推理路径。这种方法有效地将有效推理重路由至死胡同同时保持表层文本的合理性。在多个基准上的综合实验表明LOGICPOISON成功绕过了GraphRAG的防御显著降低了其性能并在有效性和隐蔽性方面均优于最先进的基线方法。1 引言检索增强生成RAGLewis等2020Gao等2023Xiao等2026b已成为通过利用外部知识库增强大语言模型LLMOpenAI等2024Anthropic2024Guo等2025的一种有前景的范式。然而现有的RAG系统在处理现实场景中的大规模非结构化语料时面临重大挑战。相关信息通常不均匀地分布在异构文档中Xiao等2025Yang等2026。因此传统RAG检索到的上下文常常是庞大、碎片化且缺乏结构组织的导致生成准确性和连贯性的不一致。为解决这些局限性基于图的检索增强生成GraphRAGZhang等2025Peng等2024Xiao等2026a已成为一种稳健的解决方案。通过将知识构建为图结构GraphRAG建模了层次化关系并支持高效的多跳检索和推理使得背景知识的利用更加可靠。图1对LLM或RAG的传统攻击难以对GraphRAG系统构成有效威胁。这主要归因于两个特性。首先知识图谱的构建过程自然地过滤了部分攻击内容。其次图结构独特的检索和推理机制进一步提高了攻击实施的难度。安全性仍然是检索增强生成RAG系统面临的关键挑战因为其依赖外部语料库使其暴露于对抗性攻击之下。如图1所示先前研究已识别出三种主要攻击类型i语料库投毒Zou等2025向知识源注入恶意文档ii提示注入Hines等2024Suo2024即在检索到的文本中嵌入对抗性指令以劫持模型行为以及iii检索器攻击Wallace等2019Shafran等2025即构造欺骗性查询以降低检索准确性。然而由于GraphRAG基于图的架构这些方法对其基本无效。通过从源语料库构建知识图谱GraphRAG引入了内在的防御机制。首先投毒攻击在拓扑上被边缘化因为合成实体无法融入连贯的图社区。其次最关键的是提示注入在结构上被阻止检索操作在实体-关系子图上进行而非原始文本从而将知识访问与指令执行解耦并过滤掉嵌入的对抗性命令。除此之外由于推理在图中的多个连通路径上进行针对单个节点或局部内容的攻击无法破坏系统的全局推理能力因为其他未受污染的推理路径仍然可用。最近的工作如GRAGPOISONLiang等2025已对攻击GraphRAG进行了初步尝试。然而它严重依赖LLM生成的内容来制造和放大虚假关系这具有很高的可检测性。为明确这一点我们对基于图的架构进行了深入分析见附录A.1并揭示GraphRAG的功能与其说是静态知识存储不如说是动态逻辑推理引擎。其效能并非源于存储的三元组数量而是源于通过拓扑结构进行逻辑传播的能力。因此击败GraphRAG需要破坏其逻辑推理链而不仅仅是破坏孤立的数据点。然而底层图结构在实践中通常是不透明的黑盒且不同的GraphRAG实现采用多样的图构建和推理机制。这带来了两个主要挑战i如何在不知道底层图结构的情况下实现有效且低幅度的投毒ii如何使这种攻击在不同GraphRAG架构中保持鲁棒性和可迁移性为克服这些挑战我们提出了一个新型攻击框架LOGICPOISON。与依赖于加性噪声或冲突证据的传统攻击方法不同LOGICPOISON从根本上针对GraphRAG系统构建的知识图谱的拓扑完整性。具体而言它采用类型保持的实体交换机制在不妨碍文本表层的情况下隐式地破坏图结构。我们设计了双管齐下的策略来选择目标实体i全局逻辑投毒识别并扰动高频率枢纽节点以粉碎全局图连通性以及ii面向查询的逻辑投毒利用思维链提取来精确定位并切断对多跳查询至关重要的特定推理桥梁。通过对这些关键实体在其各自类型内应用循环置换我们确保文档在语义上仍然可读的同时底层图拓扑被重路由至逻辑死胡同或虚假捷径。我们的贡献总结如下我们识别出GraphRAG系统中的一个关键漏洞虽然它们对非结构化噪声具有鲁棒性但对结构性逻辑破坏却高度脆弱。我们将此形式化为拓扑安全问题将攻击面从投毒内容注入转变为逻辑重布线。我们提出了LOGICPOISON一个统一的框架结合了全局中心性分析与针对特定查询的推理提取。该方法允许低幅度、隐蔽的修改有效绕过GraphRAG固有的社区摘要和过滤机制防御。我们在多个基准上对各种最先进的GraphRAG架构和基础LLM进行了全面实验。结果表明LOGICPOISON显著降低了GraphRAG的性能优于现有基线方法。2 相关工作检索增强生成模型的安全性近年来引起了研究界的广泛关注。通用对抗触发器Wallace等2019和间接提示注入Hines等2024Suo2024的概念为最初指出大语言模型易受各类输入攻击的结果奠定了基础。在此基础上针对RAG模型的各种攻击相继出现PoisonedRAGZou等2025定义了用于引导模型行为的知识库投毒PANDORADeng等2024b利用检索功能进行间接越狱攻击TrojanRAGCheng等2024优化了联合攻击以在检索上下文中插入后门干扰攻击Shafran等2025通过推广阻塞文档发起拒绝服务攻击此外进一步研究Zeng等2024揭示了检索过程固有的隐私泄露问题。最近GRAGPOISONLiang等2025通过注入LLM编写的文本来模拟图中的虚假链接将GraphRAG攻击进行了泛化。现有技术基于显式内容注入和加性扰动。本文引入LOGICPOISON通过重新建模逻辑图的拓扑结构来改变这一范式以隐蔽的、类型保持的交换方式有效操纵GraphRAG以逻辑隐含的方式而非更明显的生成内容来破坏GraphRAG。3 预备知识4 LogicPoison框架我们提出了LOGICPOISON一个专门针对GraphRAG系统的框架其原理是拓扑破坏。与注入大量显性错误信息的传统投毒方法不同我们的解决方案精心重写了语料库中固有的逻辑推理链。通过策略性地置换实体我们在构建的知识图谱中诱导出语义上看似合理但逻辑上谬误的路径误导系统生成自信但错误的答案。投毒后的语料库 C~ 可以通过对候选实体集 S 执行类型保持的实体交换操作来构建。为了同时具有结构影响和查询相关性我们使用两个互补的子策略来组成 S全局逻辑投毒针对语料库级别的逻辑枢纽以破坏知识图谱的全局连通性。面向查询的逻辑投毒针对多跳逻辑推理链所必需的特定实体确保攻击覆盖用户查询所需的精确路径。4.1 全局逻辑投毒GraphRAG系统依赖中心实体来连接不同的信息块。破坏这些枢纽会破坏全局图结构。4.2 面向查询的逻辑投毒全局枢纽可能无法覆盖对特定查询至关重要的长尾实体。为确保路径覆盖我们引入了一种查询引导的选择机制。4.3 类型保持的实体交换统一候选集。我们将全局池和面向查询的池合并为统一的目标实体集它们发挥互补作用5 实验5.1 实验设置数据集。为评估LOGICPOISON在真实场景中的有效性我们将实验设置与最先进的GraphRAG研究Gutierrez等20242025中的既定协议保持一致。我们采用了三个广泛使用的多跳问答基准HotpotQAYang等2018、2WikiMultihopQAHo等2020和MuSiQueTrivedi等2022。这些数据集代表了从中等至高度挑战性的广泛推理复杂度并需要各种基于图的推理能力如桥梁实体和比较分析。遵循标准实践我们从每个基准的验证集中随机采样500个查询进行评估同时严格遵循先前工作中定义的语料库和真实答案。基线。我们将LOGICPOISON与PoisonedRAGRAG系统的最先进攻击方法以及广泛采用的LLM对抗性方法进行比较包括朴素攻击、提示注入Liu等2024、GCG攻击Zou等2023和虚假信息Du等2022。所有基线的详细信息见附录。GraphRAG方法。为验证我们的攻击在不同架构中的鲁棒性和通用性我们在三个代表性的GraphRAG框架上进行了评估1Microsoft GraphRAGEdge等2025推广了基于图的全局检索的开创性实现2HippoRAG 2Gutiérrez等2025和GFM-RAGLuo等2025代表了该领域当前的最先进水平。这一选择使我们能够评估不同图构建和推理范式下的脆弱性。每种方法的详细信息见附录。评估指标。与先前工作Zou等2025一致我们报告基于子串包含的攻击成功率ASR。如果真实答案字符串未出现在模型输出中则认为攻击成功。认识到严格的字符串匹配无法捕捉语义细微差别例如同义词或结构性变化我们额外提出了ASR-GPT。该指标利用LLM即评判员范式来评估语义等价性。给定问题、真实答案、预测三元组评判员评估预测是否传达了与真实答案相同的含义。实现细节。所有实验均在GeForce RTX 5090上执行。对于所有方法我们使用Facebook/contriever作为嵌入模型。对于不同RAG方法的检索top-kk参数我们设置 k10k10。对于目标实体的前 n%我们设置 n%5%。我们使用三种不同的LLM如GPT-4o-miniOpenAI等2024、Llama-3.1-8BMeta2024和Qwen-3-32BYang等2025作为基础LLM以验证实验结果的一般性。5.2 主要结果表1总结了攻击性能。LOGICPOISON在所有评估场景中均达到了最先进的ASR和ASR-G显著优于PoisonedRAG。这一优势在以图为中心的系统如GraphRAG和GFM-RAG中最为明显我们的拓扑重布线策略有效地瓦解了检索所需的逻辑连通性。虽然HippoRAG2由于其语义保障措施表现出相对的韧性但我们的方法仍然取得了更高的成功率。此外在需要深度推理的场景MuSiQue中LOGICPOISON表现出主导性能验证了对于多跳任务逻辑破坏比内容注入更为有效。令人惊讶的是这一优势在Naive RAG中仍然存在表明实体级逻辑投毒具有广泛的适用性。表1LOGICPOISON和PoisonedRAG在不同RAG框架、数据集和LLM上的攻击性能ASR和ASR-GPT。数据集LLM攻击方法Naive RAGGraphRAGGFM-RAGHippoRAG2HotpotQAGPT-4o-miniPoisonedRAG61.8/72.866.8/80.071.6/70.468.0/66.0LogicPoison92.0/91.678.4/92.281.0/78.073.6/66.22WikiLlama-3.1-8BPoisonedRAG51.0/58.864.4/78.055.8/49.468.4/63.6LogicPoison88.2/86.679.2/91.280.6/83.872.6/73.0MuSiQueQwen-3-32BPoisonedRAG56.8/68.265.8/80.271.6/35.071.8/67.6LogicPoison85.0/83.884.2/92.076.6/76.876.6/69.82WikiGPT-4o-miniPoisonedRAG64.4/83.458.6/77.457.2/56.674.8/70.4LogicPoison90.0/91.678.4/95.671.6/76.082.8/71.82WikiLlama-3.1-8BPoisonedRAG61.4/77.854.8/73.242.2/37.274.8/70.0LogicPoison95.4/94.478.8/95.074.2/85.677.4/74.22WikiQwen-3-32BPoisonedRAG63.0/82.458.0/77.058.8/37.675.8/73.6LogicPoison82.2/83.478.6/93.271.4/79.887.4/76.62WikiGPT-4o-miniPoisonedRAG64.0/77.859.6/77.670.0/74.867.2/68.0LogicPoison99.2/99.291.4/97.092.6/93.490.2/88.02WikiLlama-3.1-8BPoisonedRAG58.2/64.460.2/75.443.0/42.659.4/57.8LogicPoison97.4/97.491.6/97.695.0/98.288.8/92.22WikiQwen-3-32BPoisonedRAG66.2/80.061.2/77.659.2/62.067.4/67.0LogicPoison94.6/95.893.0/95.887.6/92.691.2/91.6我们进一步比较了LOGICPOISON与传统LLM攻击方法的效果差异。表2显示LOGICPOISON在不同的LLM模型和GraphRAG方法中均表现出显著优势。具体而言朴素攻击和GCG攻击性能较差。核心原因是朴素文本和文本后缀在图构建阶段容易被过滤。提示注入具有一定的攻击效果。GraphRAG的三元组提取过程通常依赖LLM在注入提示词的影响下可能会执行错误的三元组提取操作。虚假信息通过生成与查询高度相关的虚假信息有可能被纳入知识图谱。然而总体而言这些传统方法的效果远不及LOGICPOISON因为它们侧重于非结构化的文本注入并非为破坏知识图谱的拓扑结构而设计。此外我们还发现GFM-RAG对各种攻击表现出的防御能力强于Microsoft GraphRAG这是因为GFM将知识图谱视为需要推理和去噪的中间状态其性能更依赖于预训练的GNN推理模块。表2LOGICPOISON和LLM攻击方法在2Wiki数据集上、不同LLM和RAG框架下的攻击性能。LLM攻击方法GraphRAGGFM-RAGGPT-4o-mini朴素攻击18.8/15.618.8/10.0提示注入58.8/80.438.2/47.6GCG攻击19.6/21.619.2/9.6虚假信息54.6/75.042.0/51.4LogicPoison78.4/95.671.6/76.0Llama-3.1-8B朴素攻击18.0/21.420.8/13.6提示注入57.0/78.230.4/32.6GCG攻击19.8/16.820.4/12.4虚假信息53.6/70.442.4/43.2LogicPoison78.8/95.074.2/85.6Qwen-3-32B朴素攻击19.0/17.219.4/7.2提示注入59.0/83.450.0/64.0GCG攻击19.6/20.019.2/7.6虚假信息54.4/74.050.4/52.8LogicPoison78.6/93.271.4/79.85.3 效率分析为比较LOGICPOISON和PoisonedRAG的效率我们从三个维度进行了评估时间消耗、每个查询的Token消耗以及语料库中注入的内容长度。所有结果均为三个数据集上的平均值。结果表明LOGICPOISON在所有维度上均显著优于基线方法。具体而言在时间消耗方面PoisonedRAG严重依赖LLM的大规模生成导致其速度缓慢。LOGICPOISON的全局阶段使用轻量级NER技术耗时极低。虽然面向查询的部分需要通过LLM提取桥梁实体并消耗一定时间但总时间仍比PoisonedRAG快4倍。在Token消耗方面LOGICPOISON仅消耗PoisonedRAG的1/8显著降低了资源开销。在注入Token维度上PoisonedRAG在单个数据集中插入了大量攻击相关内容使其容易被检测。LOGICPOISON无需向数据集中注入虚假内容因此实现了高隐蔽性。表3效率分析。基线与我们的变体在计算时间、每个查询的Token成本以及语料库中注入内容长度方面的比较。所有结果均为三个数据集上的平均值。方法时间消耗分钟Token消耗每个查询注入TokenPoisonedRAG18015,000500,000LogicPoison451,87505.4 消融研究为验证每个模块的有效性我们在三种不同的LLM模型和两种GraphRAG方法上进行了消融实验。实验结果如图3所示表明LOGICPOISON的每个模块都表现出显著的有效性。具体而言面向查询的逻辑投毒模块识别每个查询的关键实体有效切断其逻辑推理链贡献了显著的攻击效果全局逻辑投毒模块通过削弱知识图谱中的逻辑枢纽严重破坏了图的整体逻辑性且不依赖于LLM或查询内容使其成为低成本和数据可用性低场景下的首选方案。两者的结合构成了LOGICPOISON有效整合了上述优势它不仅在全球层面破坏了知识图谱的拓扑连接还专门中断了每个查询独有的逻辑推理链实现了最优的攻击效果。图3各组件在2Wiki数据集上的消融研究。我们比较了仅全局、仅面向查询以及完整LogicPoison策略在三种不同LLM上的表现。5.5 潜在防御之前的实验充分证明了LOGICPOISON攻击GraphRAG的有效性。接下来本文将进一步探索潜在的防御机制。5.5.1 查询改写查询改写Jain等2023被广泛用于防御大语言模型的提示注入攻击Liu等20242025Pedro等2025Branch等2022和越狱攻击Wei等2023Deng等2024a。其核心机制是通过LLM重写查询然后基于重写后的查询执行检索和生成任务。我们验证了该策略对LOGICPOISON的防御效果为每个查询生成了5个改写版本。实验结果如表4所示。具体结果表明查询改写对LOGICPOISON几乎没有防御效果。该策略导致的攻击有效性下降始终低于 1.0%。主要原因是无论查询的句子结构如何重写其核心语义保持不变这不会影响LOGICPOISON对关键实体的提取结果因此对整体攻击效果几乎没有影响。表4防御分析。LOGICPOISON在不同数据集和GraphRAG系统下对抗查询改写防御的鲁棒性。基础LLM固定为GPT-4o-mini。数据集系统标准无防御查询改写Δ防御效果HotpotQAGraphRAG92.292.20.0GFM-RAG78.077.8-0.22WikiGraphRAG95.694.6-1.0GFM-RAG76.075.6-0.4MuSiQueGraphRAG97.096.2-0.8GFM-RAG93.493.40.05.5.2 LLM知识引用对于使用GraphRAG的场景LLM本身无法很好地解决专业问题需要特定的知识库/知识图谱作为知识来源。同时各种GraphRAG的提示会严格限制LLM在生成过程中引用从知识库/知识图谱检索到的内容。这些约束极大地限制了LLM知识引用依赖LLM内部知识Liang等2025对LOGICPOISON的防御效果。图4基于困惑度PPL的LOGICPOISON检测。5.5.3 投毒文本识别困惑度PPLAlon和Kafmonas2023被广泛用于衡量文本质量也用于防御对大语言模型的攻击。先前研究表明文本的高困惑度表明质量低投毒文本通常比人类撰写的文本具有更高的困惑度这使得投毒文本非常容易被检测。为验证这一点遵循Zou等2025的做法我们分别计算了干净文本和被LOGICPOISON替换实体后的文本各随机采样500条的困惑度使用OpenAI的tiktoken cl100k_base模型进行检测。如图4所示结果表明AUC值为0.57非常接近随机猜测基准0.5表明模型对投毒文本基本处于随机判断状态。这意味着LOGICPOISON实体替换后生成的投毒文本在困惑度方面几乎与干净文本无法区分难以检测。其核心原因在于本文提出的类型保持实体交换模块所有实体替换都保持类型一致性确保句子的流畅性和语义表达不受影响从而有效规避检测机制。6 结论我们发现现有的LLM或RAG攻击技术无法有效攻击GraphRAG系统。通过对GraphRAG系统的深入分析我们发现其易受逻辑破坏攻击因此提出了LOGICPOISON。该方法通过识别逻辑枢纽和查询对应的关键实体来构建统一的候选集。基于循环置换我们从全局和面向查询两个层面实施了对GraphRAG的全面且隐蔽的攻击破坏了其逻辑推理能力。在三个公共数据集、三个LLM模型和三个GraphRAG方法的实验设置下LOGICPOISON表现出优异的性能在时间和Token成本上显著优于最先进方法。此外我们探索并通过实验验证了潜在防御的有效性。本研究为GraphRAG领域的安全研究提供了重要指导。局限性虽然LOGICPOISON有效暴露了GraphRAG的拓扑脆弱性并在多个基准上展示了高效性但我们承认存在某些局限性这些局限性指出了未来研究的方向。对动态图构建的泛化性。我们的实验侧重于从静态语料库构建的图索引。现实世界的GraphRAG系统可能采用动态更新机制其中节点实时添加或剪枝。虽然逻辑投毒的理论基础仍然有效但攻击在高频图更新下的持久性和稳定性需要进一步实证研究。语言范围。当前的评估仅限于英语数据集。虽然逻辑推理与语言无关但在具有复杂形态或丰富屈折变化的语言中实现不可察觉的实体交换需要定制的重写启发式方法。我们计划在未来的工作中将验证扩展到多语言GraphRAG设置。伦理声明本研究遵守ACL伦理政策。我们使用了三个公开数据集HotpotQA、2WikiMultiHopQA和MuSiQue这些都是研究界广泛建立的基准。据我们所知这些数据集不包含个人身份信息PII或冒犯性内容。我们的研究既不涉及人类受试者实验也不涉及私人用户数据的收集。我们承认本文提出的LOGICPOISON框架展示了一种破坏GraphRAG系统的方法存在潜在的被滥用风险。然而我们的主要动机是防御性的通过暴露GraphRAG中拓扑推理的脆弱性我们旨在提醒社区注意这些隐蔽的漏洞。我们相信识别此类结构性弱点是为开发更健壮的防御机制和安全的RAG系统而必不可少的先决条件。所有实验均在受控环境中进行没有向现实世界应用发布任何投毒数据。