王者荣耀小满惊现神秘流口水表情:背后缘由及玩家热议,看似无害的提问,也能偷走RAG系统的记忆——IKEA:隐蔽高效的数据提取攻击新范式世联赛-吴梦洁18分冠全场一传低效 女排4胜比利时占上风(每周好礼:小象玩偶、大象文创袋、象象定制笔记本,三选一)
从王者荣耀的最新版本中,我们发现了一种引人注目的神秘表情——“小满惊现神秘流口水表情”。这种表情出现的时间虽然不是游戏内即时更新,但其独特的特征和背后的深意却引起了广大玩家的关注和讨论。
让我们来看看这个表情的出现背景。小满作为《王者荣耀》游戏中的一名中单法师英雄,以其强大的爆发能力和控制能力深受玩家们的喜爱。在一些特殊的游戏环境中,小满也可能会产生一些意想不到的反应,比如在某些情况下,她可能会被队友误认为是需要流口水的敌人,从而引发出相应的动作或者表情。当我们在游戏内的小满出现“神秘流口水表情”时,无疑是对她的行为模式的一种创新和探索。
那么,这个表情的出现究竟是出于何种原因呢?一方面,可能是游戏开发者为了增加小满的策略性和观赏性而特意设计的一种新的表情符号。在游戏中,每当小满使用她的大招进行攻击或者技能释放时,都会触发不同的特效,如“水流成河”,“爆炸珍珠”,等等。这些特效不仅丰富了游戏的表现形式,同时也为小满的动态表现提供了更多的可能。如果在特定的游戏环境下,小满的行为模式发生了改变,例如她在对敌方英雄造成伤害后,突然表现出需要流口水的动作,这其实是一种自然的反应,也是小满作为一个角色的一种特性——她需要通过某种方式来表达自己的情绪或者状态。
另一方面,也可能是因为游戏开发者发现了小满在某些情况下可能具备的一种特殊技能——“情感反应”。通常来说,英雄角色在战斗过程中会产生各种各样的情绪反应,包括愤怒、恐惧、开心等。而在某些特殊的战斗场景下,小满可能会因为自身的心理状态或者游戏环境的影响,产生出类似“流口水”的表情。这种现象在一些MOBA类游戏和竞技场中比较常见,比如英雄们在面对强敌时,由于紧张或恐惧而产生的情绪波动,就会导致他们表现出诸如点头、眨眼、张嘴等面部表情,这就是“情绪反应”这一概念在游戏中的体现。
“小满惊现神秘流口水表情”这一事件之所以会引起如此广泛的关注和讨论,原因主要有两个方面:一是游戏开发者为了创新小满的行为模式和表现形式,特意设计出了这个全新的表情符号;二是游戏开发者在设计游戏的过程中,考虑到小满作为一名中单法师英雄的特殊属性和行为习惯,可能发现了她在某些特殊情况下的情感反应。无论是哪种原因,这都为我们提供了一个有趣的角度,去思考并探讨英雄角色在游戏世界中的生存之道和发展模式。
本文作者分别来自新加坡国立大学、北京大学与清华大学。第一作者王宇豪与共同第一作者屈文杰来自新加坡国立大学,研究方向聚焦于大语言模型中的安全与隐私风险。共同通讯作者为北京大学翟胜方博士,指导教师为新加坡国立大学张嘉恒助理教授。
本研究聚焦于当前广泛应用的 RAG (Retrieval-Augmented Generation) 系统,提出了一种全新的黑盒攻击方法:隐式知识提取攻击 (IKEA)。不同于以往依赖提示注入 (Prompt Injection) 或越狱操作 (Jailbreak) 的 RAG 提取攻击手段,IKEA 不依赖任何异常指令,完全通过自然、常规的查询,即可高效引导系统暴露其知识库中的私有信息。
在基于多个真实数据集与真实防御场景下的评估中,IKEA 展现出超过 91% 的提取效率与 96% 的攻击成功率,远超现有攻击基线;此外,本文通过多项实验证实了隐式提取的 RAG 数据的有效性。本研究揭示了 RAG 系统在表面「无异常」交互下潜在的严重隐私风险。
本研究的论文与代码已开源。
总述
大语言模型 (LLMs) 近年来在各类任务中展现出强大能力,但它们也面临一个核心问题:无法直接访问最新或领域特定的信息。为此,RAG (Retrieval-Augmented Generation) 系统应运而生——它为大模型接入外部知识库,让生成内容更准确、更实时。
然而,这些知识库中往往包含私有或敏感信息。一旦被恶意利用,可能导致严重的数据泄露。以往的攻击方式多依赖明显的「恶意输入」,比如提示注入或越狱攻击。这类攻击虽然有效,但也有着输入异常、输出重复等典型特征,容易被防御系统识别和拦截。
图1: 使用恶意查询进行逐字信息提取与使用良性查询进行知识提取 (IKEA) 之间的对比
为突破防御机制对现有提取攻击的限制,本文提出了一种全新的隐式知识抽取框架:IKEA (Implicit Knowledge Extraction Attack)。该方法不依赖任何越权指令或特异化提示语,而是通过自然、常规的查询输入,逐步引导 RAG 系统暴露其内部知识库中的私有或敏感信息。IKEA 的攻击流程具备高度自然性与隐蔽性。
其核心步骤包括:首先,基于已知的系统主题构建一组语义相关的锚点概念 (Anchor concepts);随后,围绕这些概念生成符合自然语言习惯的问题,用于触发系统检索相关文档;最终,通过两项关键机制对攻击路径进行优化与扩展:
上述机制协同工作,使得攻击过程在保持输入自然性的同时,能够在多轮交互中高效提取 RAG 系统所依赖的外部知识内容。实验证明,IKEA 可在常规输入检测与输出过滤等防御机制下维持高成功率与提取效率,展现出强大的鲁棒性与现实威胁潜力。
方法概览:如何实现「看似正常」的提问?
具体而言,IKEA 首先从与系统主题相关的概念词中筛选出可能有效的锚点概念,并结合历史响应信息过滤无关或无效的概念。
锚点概念数据库的初始化如下:
随后,系统围绕这些锚点概念自动生成语义自然、表达通顺的问题,引导 RAG 返回内容丰富的答案,从而在多轮交互中不断扩大对隐私知识的覆盖。这种策略使攻击过程更加隐蔽,难以被传统检测手段发现。下文给出了「良性」问题的具体生成方式:
该方法设计了两项关键机制以确保知识提取效率:
经验反思采样 (Experience Reflection Sampling)
每个候选锚点概念的采样概率由如下惩罚得分函数定义:
最终的采样概率为:
可信域有向变异 (Trust Region Directed Mutation)
图 2: (左) IKEA 整体流程图;(右) TRDM 示意图
其中:
实验结果:IKEA 的提取效率远超基线方法
研究团队在三个不同领域数据集 (医疗-HealthCareMagic100k、小说-HarryPotter、百科-Pokémon) 上测试了 IKEA 攻击效果。以下是 IKEA 与其他攻击方法在「无防御」、「输入检测」、「输出过滤」三种防御策略下的比较:
表 1: 在三种数据集上不同防御策略下的攻击效果对比分析
提取知识是否「有用」?
研究团队围绕知识有效性开展了两类实验:其一,评估提取出的知识在对应文档相关的问答任务中的表现;其二,评估在有限轮次攻击下所提取知识对完整知识库的覆盖与支撑能力。实验结果表明,IKEA 不仅能够高效提取 RAG 系统中的信息,而且所提取的知识在问答任务中展现出良好的实用性,其性能接近于使用原始知识库时的表现。
图 3: 在三种不同知识库设定下的选择题 (MCQ) 与问答 (QA) 任务结果对比
表 2: 在不同防御与不同基线下提取的知识作为参考的选择题与问答任务结果对比
表 3: 基于不同攻击方法提取数据构建的 RAG 系统在完整知识库上的评估结果
总结
6月4日晚,2025年世界女排国家联赛第一周常规赛在北京拉开帷幕,中国女排坐镇主场直落三局以3-0(25-18、27-25、25-13)零封比利时喜获开门红,这是继2018年3-0、2019年3-0、2021年2-3和2022年3-0后改写历史战绩为4胜1负。吴梦洁首发三局狂轰18分冠全场但一传效率14次主接2次到位1次失误只有7.14%。龚翔宇贡献13分进攻效率50%和一传效率46.67%均是领跑进攻三叉戟。
中国女排早前在世联赛与比利时交锋4次以3胜1负占据上风,分别是2018年常规赛第1组直落三局以3-0(25-14、25-20、25-13)零封,至于2019年常规赛第2组同样是以3-0(25-16、25-20、25-14)轻取,反观2021年常规赛第3组鏖战五局以2-3(25-17、25-27、25-23、21-25、8-15)惜败,而后2022年常规赛第4组也是以3-0(25-19、25-22、25-14)零封。
虽然女排姑娘们发球得分以3-3与比利时不相伯仲,但是得益于进攻54-39和拦网6-3两环节占据优势,并且自身失误以11-14少丢3分,最终是直落三局以3-0(25-18、27-25、25-13)零封比利时喜获开门红,同时将世联赛交锋纪录改写成4胜1负。江苏主攻吴梦洁三局狂轰18分冠全场,包括进攻15分拦网2分发球1分,得失分效率18.18%却在5位首发攻手垫底。