🧪 Как отравить RAG за 3 минуты — без GPU, без джейлбрейка У вашей компании есть RAG-система с базой знаний? Вот что может случиться. Исследователь взял локальную RAG-систему (ChromaDB + Qwen 7B), где лежал реальный финансовый отчёт: выручка $24.7M, прибыль $6.5M. Подбросил 3 фейковых документа — и LLM начала уверенно отвечать: «выручка $8.3M, падение 47%, идут сокращения». Как работает атака: Фейковые документы оформлены как «исправления» от CFO, запрос от SEC и протокол совета директоров. Все три ссылаются на реальную цифру — но маркируют её как «ошибку». LLM видит оба варианта в контексте, но выбирает «исправленный» — потому что 3 авторитетных источника перевешивают 1 обычный. Успех: 19 из 20 запусков. Почему это страшнее prompt injection: — Персистентность: фейки живут в базе и срабатывают на каждый запрос каждого пользователя — Невидимость: пользователь видит ответ, а не источники — Низкий порог: нужен только write-доступ к базе знаний Основано на PoisonedRAG (USENIX Security 2025) — там показали 90% успех даже на базах с миллионами документов. Лаба на GitHub — можно воспроизвести за 10 минут: https://github.com/aminrj-labs/mcp-attack-labs/tree/main/labs/04-rag-security Оригинальная статья: https://aminrj.com/posts/rag-document-poisoning/