惊！一个表情符号就能劫持 RAG 系统？KDD 2026 最新研究揭露 RAG 符号扰动漏洞

今天给大家解读一篇浙大、南洋理工、新加坡国立、北大等高校联合发表在KDD 2026的重磅研究——EmoRAG。这篇EmoRAG研究的价值，不仅在于发现了RAG的一个新漏洞，更在于为实际落地的RAG应用敲响了警钟：RAG的鲁棒性优化，不能只关注语义层面，还要重视符号扰动这类细粒度的问题。

今天给大家解读一篇浙大、南洋理工、新加坡国立、北大等高校联合发表在KDD 2026的重磅研究——EmoRAG，聚焦RAG系统的符号扰动鲁棒性问题。

研究发现，往查询里加一个不起眼的表情符号，就能让RAG系统近乎100%检索到语义无关的内容，这一发现对实际落地的RAG应用有着极强的警示意义。

这篇EmoRAG研究的价值，不仅在于发现了RAG的一个新漏洞，更在于为实际落地的RAG应用敲响了警钟：RAG的鲁棒性优化，不能只关注语义层面，还要重视符号扰动这类细粒度的问题。

在实际应用中，尤其是AI客服、代码助手、智能问答等面向终端用户的场景，用户输入含表情符号的概率极高，若不做防御，很可能导致系统输出错误信息，影响用户体验甚至引发业务风险。

论文地址：https://arxiv.org/pdf/2512.01335 项目地址：https://github.com/EmoRAG-code/EmoRAG HuggingFace：https://huggingface.co/EmoRAG/EmoRAG_detect

01、核心发现

一个表情符号，让RAG检索彻底“跑偏”

检索增强生成（RAG）是解决大模型幻觉、更新知识的核心框架，业界一直默认RAG的检索质量由用户查询和知识库文本的语义相关性主导。但这项研究直接打破了这个假设，发现了一个被严重忽视的漏洞——EmoRAG：细微的符号扰动，尤其是日常使用、不易察觉的表情符号，能直接劫持RAG的检索过程。

简单来说，往用户查询里注入一个表情符号，RAG系统会优先检索包含相同表情符号但语义完全无关的内容，而非原本语义相关的信息，这一漏洞在通用问答（NQ、MSMARCO）和代码领域均成立，还得出了5个颠覆认知的关键结论：

1. 单表情符号灾难效应：仅植入1个表情符号，就能让RAG近乎100%检索到语义无关内容，攻击效果拉满；
2. 广泛有效性：约83%的受试表情符号都能触发这种极致的检索失效，可利用性极高；
3. 位置敏感性：在查询开头加表情符号的扰动效果最严重，所有数据集上F1值均超0.92；
4. 参数量级脆弱性：反直觉的是，参数量越大的模型（超7B）对这种扰动更敏感，受扰时F1值几乎全为1.0；
5. 无跨触发效应：只有查询和知识库文本中的表情符号完全一致时，才会触发攻击，这让攻击者能精准操纵RAG输出。

更可怕的是，这种攻击对RAG的正常查询毫无影响——没有表情符号的干净查询，系统检索完全正常，这意味着该攻击的隐蔽性极强，很难被发现。

02、量化分析：EmoRAG攻击的“万能性”有多强？

为了验证EmoRAG攻击的有效性，研究团队在多款检索器、生成器，以及基础/先进RAG系统上做了全面的量化实验，结果显示，这款攻击的“万能性”远超想象，几乎不受模型类型、超参数等因素限制。

对生成器/检索器

通杀所有类型，无死角

实验选取了GPT-4o、LLAMA-3.1-8B、Qwen2.5-1.5B三款不同参数量的生成器，以及Contriever、SPECTER、CodeBERT（代码领域专用）等7款检索器，结果发现：

• 无论生成器的架构、参数量如何，EmoRAG的攻击成功率（ASR）均超95%；
• 哪怕是代码领域专门优化的CodeBERT检索器，也逃不过该攻击，F1值稳定在高位。

也就是说，只要是基于常规架构的RAG组件，几乎都对EmoRAG攻击没有抵抗力。

超参数影响

少量注入即可拉满效果，位置是关键

研究还探究了多个超参数对攻击效果的影响，核心结论对实际防御极具参考性：

• 检索数量k：即便增加检索返回的文本数，攻击成功率也不会显著下降，因为表情符号会直接扭曲查询的嵌入空间，让系统难以检索到相关内容。
• 扰动文本数量N：仅向数百万条的知识库中注入5条含表情符号的扰动文本，就能实现近乎100%的攻击成功率，无需大量投毒；

• 表情符号数量：1个表情符号就能实现高效干扰，2个表情符号即可让F1值达到1.0，实现最大化干扰；

• 注入位置：开头注入效果最强，随机位置次之，仅结尾注入则几乎无效；

• 相似度度量方式：无论用点积还是余弦相似度计算嵌入，攻击效果均无明显变化，说明攻击不依赖检索的相似度计算逻辑；

此外，研究还发现结构越复杂的表情符号，攻击效果越好，并提出了一个简单的评分公式，通过表情符号的词元总数和唯一词元数，就能初步预测其攻击效果。

而相比表情符号，绘文字（emoji）因易被模型识别、乱码因易被用户察觉，攻击效果都远不如表情符号。

先进RAG系统

同样脆弱，防御效果有限

针对Robust-RAG、Self-RAG这类为提升鲁棒性设计的先进RAG系统，研究团队也做了实验。结果显示，即便这类系统采用了“分离-聚合”“自反思检索”等防御策略，EmoRAG仍能实现75%以上的攻击成功率，F1值也维持在0.97以上。

核心原因是，先进RAG系统的底层检索逻辑仍基于嵌入匹配，而表情符号会直接破坏查询的高维嵌入映射，让系统无法正常检索到语义相关内容，这也说明现有RAG的鲁棒性优化，并未触及符号扰动的核心漏洞。

03、底层作用机制

不是表情符号的问题，是RAG的结构性缺陷

很多人会觉得，EmoRAG的问题是表情符号本身的特殊性导致的，但研究指出，这只是表象，本质是RAG系统存在三大结构性缺陷，表情符号只是触发这些缺陷的“导火索”，其他稀有符号也可能引发类似问题。

缺陷1：稀有词元引发查询嵌入特征偏移

表情符号在模型的训练词汇中属于长尾分布的稀有词元，甚至会被分词器标记为未知词元（<unk>）。这类稀有词元的嵌入特征，和模型中高频词元的嵌入特征相距甚远，却会自身紧密聚集。

当查询中出现表情符号时，这种稀有词元会直接扭曲整个查询的嵌入表征，让查询的嵌入特征偏离原本的语义分布，最终导致检索器无法基于语义匹配内容，反而会优先匹配同样包含该稀有词元（表情符号）的文本。

通过PCA可视化能清晰看到：干净查询的嵌入在空间中分散分布，而含表情符号的扰动查询，嵌入会密集聚集在一个小区域，语义表征完全被扭曲。

缺陷2：词元插入引发全局性的位置偏移

RAG的检索器多基于Transformer架构，而该架构的位置嵌入决定了模型对词元顺序的敏感性。当在查询开头插入表情符号时，后续所有词元的位置都会发生偏移，最终嵌入特征也会被改变；而结尾插入则不会影响前文词元的相对位置，因此几乎无扰动效果。

这是Transformer架构的固有问题：序列开头的微小插入，会引发全局性的位置偏移，进而彻底改变文本的表征，这也是为什么查询开头的表情符号扰动效果最强。

缺陷3：高维空间的扰动放大效应

大参数量模型的嵌入空间维度更高，能捕捉更细微的词元关联，但这也带来了副作用——对微小扰动的放大效应。

表情符号带来的微小嵌入偏移，在高维空间中会被不断放大，最终导致整个查询的表征发生巨大变化；而小参数量模型的嵌入空间维度低，扰动的影响也相对有限，这就解释了为什么大模型对EmoRAG攻击更敏感。

简单总结：EmoRAG攻击的本质，是利用了RAG检索器对稀有词元的建模缺陷、Transformer的位置偏移特性和高维嵌入空间的扰动放大效应，三者叠加，让一个小小的表情符号就能实现极致的检索劫持。

04、对抗性威胁建模：实际场景中，攻击有多容易实现？

研究团队还梳理了EmoRAG攻击在实际场景中的两种可行模式，且均具备低成本、高隐蔽性的特点，这也让该漏洞的实际危害进一步升级。

场景1：普通用户无意间触发，被动受害

表情符号在社交媒体、日常输入中极为常见，用户可能会无意间在查询中加入表情符号（比如复制社交媒体的内容提问）。攻击者只需提前在知识库中注入含高频表情符号的虚假内容，就能让用户在不知情的情况下，获取到错误信息。

比如在AI客服场景中，用户问“苹果2024款手机怎么样？(@_@)”，系统会检索到含“(@_@)”的虚假文本，告知用户“该手机存在严重质量问题”，而非真实的产品信息。

场景2：攻击者主动构造查询，精准操纵

攻击者可直接向RAG系统提交含特定表情符号的查询，同时提前在知识库中植入匹配表情符号的恶意内容，实现对系统输出的精准操纵。

比如在代码安全评估场景中，攻击者在存在漏洞的代码注释中加入表情符号，当评估系统查询该代码时，会检索到含相同表情符号的“安全评估”文本，误判漏洞代码为安全，最终导致系统引入风险。

而从攻击者的能力边界来看，该攻击的实现门槛极低：无需获取RAG模型的内部参数，无需操纵模型训练，仅需向知识库注入不足0.01‰的扰动文本，就能实现近乎100%的攻击成功率，且在维基百科、GitHub等开源知识库中，这种少量注入完全具备可操作性。

05、防御策略验证：哪些方法有用？实际落地该选啥？

针对EmoRAG攻击，研究团队提出并验证了三种防御策略，同时给出了检索器训练的底层优化建议，从临时缓解和长期优化两个维度，为RAG防御提供了方向。

策略1：稀释防御

几乎无效，不建议使用

核心思路是增加检索返回的文本数量，让系统检索到更多干净文本，稀释扰动文本的影响。但实验结果显示，即便大幅增加k值，攻击成功率也不会显著下降，因为表情符号已经扭曲了查询的嵌入空间，系统根本无法检索到语义相关的干净文本，再多的检索结果也无意义。

策略2：查询净化

效果拉满，落地性强

核心思路是通过文本改写过滤查询中的表情符号，使用GPT-4o为扰动查询生成多个改写版本，去除表情符号后再进行检索，最后聚合所有改写查询的检索结果生成答案。

实验结果显示，该策略能让EmoRAG的攻击成功率直接降至0%，F1值也回归0，完全抵御攻击。唯一的缺点是需要多次改写和检索，会增加一定的计算成本，但对于实际应用来说，这种成本完全可接受，是现阶段最适合落地的防御方法。

策略3：扰动文本检测

精准识别，针对性强

研究团队首先尝试了用困惑度（PPL）检测扰动文本，但发现其假阳性率极高，无法精准分类；随后基于NQ数据集构建了含150万+样本的扰动文本检测数据集，训练了一个BERT-base模型，检测准确率达到99.22%，能精准识别含表情符号的扰动文本。

该策略的优势是能从知识库层面拦截恶意内容，缺点是仅针对表情符号有效，对其他稀有符号的扰动则无法识别，且需要单独训练检测模型，适合有一定研发能力的团队。

底层优化建议

除了上述临时防御策略，研究团队还为检索器的长期训练优化提出了3点建议，从根源上提升RAG对符号扰动的抵抗力：

1. 特殊词元预训练：将表情符号、稀有符号纳入预训练词汇，让模型学会捕捉其上下文语义，避免建模缺陷；
2. 扩充词汇表：防止稀有符号被标记为未知词元（<unk>），减少其对嵌入表征的扭曲；
3. 融合字符/子词嵌入：提升模型对稀有词元的泛化能力，让模型能更好地处理未见过的符号。

06、总结

RAG落地，别忽视“小符号”的大威胁

这项研究让我们意识到，RAG作为大模型落地的核心框架，其鲁棒性还有很大的优化空间。

RAG 的本质是 “检索 + 生成” 的协同系统，语义匹配只是检索环节的核心逻辑之一，但绝非全部。这项研究恰恰揭示了 “过度依赖单一模块” 的风险：如果只盯着语义相关性优化，却忽视了符号扰动、词元处理这些细节，就可能给系统留下致命漏洞。而更现实的问题是，像重新训练 tokenizer 和 embedding 这种 “底层优化”，对大多数团队来说门槛极高 —— 不仅需要大规模、高质量的标注数据集（整理成本堪比重新做一个小项目），还可能出现训练后参数偏移、与原有系统不兼容等问题，最终收益远不及投入，甚至导致系统原有功能受影响。

对于大多数企业和开发者来说，查询净化（query改写）是性价比最高的防御方式，无需重新训练模型，仅需在检索前增加一个改写步骤，就能有效抵御EmoRAG攻击。

更进一步说，未来 RAG 的鲁棒性优化，必然是 “系统级的协同优化”，而不是单一模块的 “单点突破”。比如把 “查询预处理（净化）+ 检索结果过滤（检测扰动文本）+ 生成结果校验” 串联起来，形成全链路的防御闭环；同时在检索环节，除了语义匹配，还可以加入 “符号一致性校验”“上下文相关性二次判断” 等轻量逻辑，减少对单一嵌入匹配的依赖。这样既不用投入巨大成本改造底层，又能显著提升系统的抗干扰能力，更符合企业和个人的实际落地需求。

说到底，RAG 的完善与否，不在于某个模块有多强，而在于能否补齐各个环节的短板，在 “效果、成本、鲁棒性” 之间找到平衡 —— 这也是这项研究给行业带来的重要启示之一。