Resumo
Pesquisadores da Chinese Academy of Sciences e da Nanyang Technological University propõem AURA, um framework que protege knowledge graphs (KGs) usados em sistemas GraphRAG através da injeção controlada de "adulterants" — triplas falsas, plausíveis, que degradam utilidade do grafo roubado sem afetar usuários autorizados.
Problema abordado
Quando KGs enriquecem aplicações GraphRAG (retrieval‑augmented generation), seu vazamento permite replicar capacidades proprietárias offline, contornando watermarking e outros controles. AURA procura reduzir o valor do dado exfiltrado ao degradar respostas obtidas por atacantes que usam cópias roubadas do grafo.
Como AURA funciona
- Seleção de nós críticos: uso de Minimum Vertex Cover (MVC), com ILP para grafos pequenos e heurísticas (Malatya) para grafos grandes, para minimizar alterações necessárias.
- Geração híbrida de adulterants: combinação de modelos de link‑prediction (TransE, RotatE) para plausibilidade estrutural e LLMs para coerência semântica.
- Seleção por impacto: Semantic Deviation Score (SDS) em embeddings de sentenças identifica itens com maior potencial de degradação.
- Filtragem autorizada: metadata AES encriptada em propriedades "remark" permite que sistemas legítimos removam adulterants em tempo de consulta com uma chave secreta (objetivo: IND‑CPA).
Resultados experimentais
Em benchmarks (MetaQA, WebQSP, FB15k‑237, HotpotQA) e com LLMs testados (GPT‑4o, Gemini‑2.5‑flash, Qwen‑2.5‑7B, Llama2‑7B), AURA obteve Harmfulness Scores (HS) entre 94% e 96% — isto é, muitas respostas corretas passaram a respostas erradas quando o grafo adulterado foi usado. O ARR (Adulterant Retrieval Rate) foi reportado em 100% nos testes, com impacto de latência marginal em muitos casos.
Resiliência frente a detectores
Adulterants escaparam de detectores como ODDBALL e Node2Vec em taxas baixas de detecção e sobreviveram a tentativas de sanitização em ferramentas testadas (ex.: SEKA manteve 94,5% dos adulterants).
Limitações e riscos
Os autores reconhecem limitações: descrições textuais nos nós não foram completamente tratadas e há risco de distilação por insiders (modelo pode aprender a ignorar adulterants). Estratégias mitigatórias propostas incluem controles de API e limites de exportação. Além disso, o uso de adulteration exige balanço entre degradar uso não autorizado e preservar performance para usuários legítimos.
Implicações para o mercado e próximos passos
Com grandes empresas (Microsoft, Google, Alibaba) investindo em GraphRAG, AURA representa uma abordagem de "devalorização ativa" do IP, distinta de watermarking passivo. A técnica pode ser adotada por organizações que dependem de KGs para proteger propriedade intelectual sensível, embora seja necessária avaliação de impacto operacional em ambientes de baixa latência.
Conclusão
AURA amplia o repertório defensivo contra roubo de knowledge graphs, propondo uma defesa que degrada utilidade do dado roubado enquanto permite operações legítimas com chaves de filtragem. A solução é promissora, mas deve ser avaliada em cenários reais e complementada por controles de governança para mitigar riscos de distilação e exposição interna.