Küsimus: Mida me tegelikult teame suure keelemudeli (LLM) turvalisusest? Ja kas me avame meelsasti välisukse kaosele, kasutades LLM-e ettevõtluses?
Rob Gurzeev, CyCognito tegevjuht: Kujutage ette: teie insenerimeeskond kasutab LLM-ide tohutuid võimalusi "koodi kirjutamiseks" ja rakenduse kiireks arendamiseks. See on teie ettevõtete jaoks muutlik; arengukiirused on nüüd suurusjärgus kiiremad. Olete turuletuleku ajast 30% soodsam. Sellest võidavad kõik – teie organisatsioon, sidusrühmad ja lõppkasutajad.
Kuus kuud hiljem teatatakse, et teie rakendus lekib kliendiandmed; see on jailbreakitud ja selle koodiga manipuleeritud. Sa oled nüüd silmitsi SEC rikkumistega ja oht, et kliendid lahkuvad.
Tõhususe tõus on ahvatlev, kuid riske ei saa eirata. Kuigi meil on traditsioonilises tarkvaraarenduses väljakujunenud turvastandardid, on LLM-id mustad kastid, mis nõuavad uuesti läbimõtlemist, kuidas me turvalisuses tegutseme.
Uut tüüpi turvariskid LLM-idele
LLM-id on täis tundmatuid riske ja altid rünnakutele, mida traditsioonilises tarkvaraarenduses varem pole nähtud.
-
Kiire süstimise rünnakud hõlmab mudeliga manipuleerimist, et tekitada soovimatuid või kahjulikke reaktsioone. Siin ründaja strateegiliselt sõnastab juhised LLM-i petmiseks, mis võib potentsiaalselt mööda minna tehisintellekti (AI) vastutustundliku kasutamise tagamiseks kehtestatud turvameetmetest või eetilistest piirangutest. Selle tulemusena võivad LLM-i vastused kavandatust või eeldatavast käitumisest oluliselt erineda, seades tõsist ohtu privaatsusele, turvalisusele ja tehisintellekti juhitud rakenduste töökindlusele.
-
Ebakindel väljundi käsitsemine tekib siis, kui LLM-i või sarnase AI-süsteemi loodud väljund aktsepteeritakse ja lisatakse tarkvararakendusse või veebiteenusesse ilma piisava kontrolli või valideerimiseta. See võib paljastada tagasüsteemid haavatavustele, nagu saidiülene skriptimine (XSS), saitidevaheline päringu võltsimine (CSRF), serveripoolne päringu võltsimine (SSRF), õiguste eskaleerimine ja koodi kaugkäivitamine (RCE).
-
Koolitusandmete mürgistus tekib siis, kui LLM-i koolitamiseks kasutatud andmeid manipuleeritakse tahtlikult või need on saastatud pahatahtliku või kallutatud teabega. Koolitusandmete mürgitamise protsess hõlmab tavaliselt petlike, eksitavate või kahjulike andmepunktide sisestamist koolituse andmekogumisse. Need manipuleeritud andmeeksemplarid on strateegiliselt valitud selleks, et kasutada ära mudeli õppimisalgoritmide haavatavusi või sisendada eelarvamusi, mis võivad viia mudeli ennustustes ja vastustes soovimatute tulemusteni.
LLM-rakenduste kaitse ja kontrolli kava
Kuigi osa sellest on uus territoorium, on olemas parimad tavad, mida saate kokkupuute piiramiseks rakendada.
-
Sisend desinfitseerimine hõlmab nimetuse kohaselt sisendite desinfitseerimine, et vältida pahatahtlike viipade poolt algatatud volitamata toiminguid ja andmepäringuid. Esimene samm on sisendi valideerimine, et tagada sisendi vastavus eeldatavatele vormingutele ja andmetüüpidele. Järgmine on sisendi desinfitseerimine, kus potentsiaalselt kahjulikud märgid või kood eemaldatakse või kodeeritakse rünnakute takistamiseks. Muud taktikad hõlmavad heakskiidetud sisu valgeid loendeid, keelatud sisu musti loendeid, parameetritega päringuid andmebaasi interaktsioonide jaoks, sisu turvapoliitikat, regulaaravaldisi, logimist ja pidevat jälgimist, samuti turvavärskendusi ja -testimist.
-
Väljundi kontroll is LLM-i genereeritud väljundi range käsitlemine ja hindamine haavatavuste, nagu XSS, CSRF ja RCE, leevendamiseks. Protsess algab LLM-i vastuste valideerimise ja filtreerimisega enne nende esitamiseks või edasiseks töötlemiseks vastuvõtmist. See hõlmab selliseid tehnikaid nagu sisu valideerimine, väljundi kodeerimine ja väljundi põgenemine, mille kõigi eesmärk on tuvastada ja neutraliseerida loodud sisu võimalikud turvariskid.
-
Treeninguandmete kaitsmine on treeningandmete mürgituse vältimiseks hädavajalik. See hõlmab rangete juurdepääsukontrollide jõustamist, andmekaitseks krüptimist, andmete varukoopiate ja versioonikontrolli pidamist, andmete valideerimise ja anonüümseks muutmise rakendamist, igakülgse logimise ja jälgimise loomist, regulaarsete auditite läbiviimist ja töötajate andmeturbealast koolitust. Samuti on oluline kontrollida andmeallikate usaldusväärsust ning tagada turvalised salvestus- ja edastamistavad.
-
Rangete liivakastipoliitikate ja juurdepääsukontrollide jõustamine võib samuti aidata vähendada SSRF-i ärakasutamise ohtu LLM-i operatsioonides. Siin rakendatavad meetodid hõlmavad liivakasti isoleerimist, juurdepääsu juhtelemente, valgesse ja/või musta nimekirja lisamist, päringu valideerimist, võrgu segmenteerimist, sisutüübi valideerimist ja sisu kontrollimist. Regulaarsed värskendused, põhjalik logimine ja töötajate koolitus on samuti võtmetähtsusega.
-
Pidev jälgimine ja sisu filtreerimine saab integreerida LLM-i töötlemisprotsessi, et tuvastada ja vältida kahjulikku või sobimatut sisu, kasutades märksõnapõhist filtreerimist, kontekstianalüüsi, masinõppe mudeleid ja kohandatavaid filtreid. Eetilised juhised ja inimlik mõõdukus mängivad võtmerolli vastutustundliku sisu loomise säilitamisel, samas kui pidev reaalajas jälgimine, kasutajate tagasisideahelad ja läbipaistvus tagavad, et kõik kõrvalekalded soovitud käitumisest lahendatakse kiiresti.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/application-security/how-do-we-integrate-llm-security-into-application-development-
- :on
- :on
- : kus
- 10
- 11
- 12
- 13
- 14
- 16
- 17
- 20
- 8
- 816
- 9
- a
- MEIST
- aktsepteeritud
- aktsepteerimine
- juurdepääs
- meetmete
- adresseeritud
- piisav
- AI
- eesmärk
- algoritme
- Materjal: BPA ja flataatide vaba plastik
- Ka
- an
- analüüs
- ja
- mistahes
- taotlus
- Sovelluskehitys
- rakendused
- rakendatud
- heaks
- OLEME
- tekib
- kunstlik
- tehisintellekti
- Tehisintellekt (AI)
- AS
- ründaja
- Reageerib
- auditid
- ära
- varukoopiaid
- BE
- olnud
- enne
- algab
- käitumine
- BEST
- parimaid tavasid
- erapooletu
- kalduvusi
- Must
- plaan
- karbid
- äri
- ettevõtted
- kuid
- by
- CAN
- ei saa
- võimeid
- tegevjuht
- Kaos
- märki
- valitud
- Ring
- kood
- terviklik
- Juhtimine
- piiranguid
- sisu
- Sisu genereerimine
- kontekstuaalne
- pidev
- kontrollida
- kontrolli
- klient
- kliendi andmed
- Kliendid
- kohandatav
- andmed
- andmepunktid
- andmekaitse
- andmekaitse
- andmebaas
- petta
- petlik
- soovitud
- avastama
- arendama
- & Tarkvaraarendus
- kõrvale kalduma
- do
- Uks
- Töötaja
- tööle
- kodeeritud
- kodeerimine
- krüpteerimist
- lõpp
- jõustamisel
- Inseneriteadus
- tagama
- köitev
- eskalatsioon
- oluline
- asutades
- eetiline
- hindamine
- täitmine
- oodatav
- Ekspluateeri
- ärakasutamine
- Säritus
- väljendeid
- kiiremini
- tagasiside
- filtreerimine
- Filtrid
- esimene
- eest
- võltsimine
- Alates
- esi-
- edasi
- Kasum
- mängu-Box
- tekitama
- loodud
- põlvkond
- suunised
- Käsitsemine
- kahjulik
- Kasutamine
- Olema
- aitama
- siin
- Kuidas
- HTTPS
- inim-
- ICON
- identifitseerima
- tohutu
- rakendada
- rakendamisel
- oluline
- in
- sisaldama
- Inkorporeeritud
- sisaldab
- info
- algatatud
- sisend
- sisendite
- sisendama
- integreerima
- integreeritud
- Intelligentsus
- ette nähtud
- interaktsioonid
- sisse
- kaasama
- hõlmab
- isolatsioon
- IT
- ITS
- Võti
- liiki
- Teadma
- keel
- suur
- pärast
- viima
- lekkima
- õppimine
- nagu
- LIMIT
- LLM
- metsaraie
- säilitamine
- pahatahtlik
- manipuleeritav
- manipuleerimine
- mai..
- meetmed
- eksitav
- Leevendada
- mudel
- mudelid
- mõõdukus
- järelevalve
- kuu
- nimi
- võrk
- Uus
- järgmine
- nüüd
- of
- maha
- on
- avamine
- Operations
- or
- tellimuste
- Muu
- tulemusi
- väljund
- pilt
- torujuhe
- Koht
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängima
- võrra
- mürgitus
- Poliitika
- tekitavad
- potentsiaal
- potentsiaalselt
- tavad
- Ennustused
- esitlus
- vältida
- varem
- privaatsus
- privileeg
- protsess
- töötlemine
- viivitamatult
- küsib
- kaitse
- pakkudes
- panema
- päringud
- kiiresti
- RE
- reaalajas
- tõesti
- regulaarne
- usaldusväärsus
- kauge
- Eemaldatud
- Teatatud
- taotleda
- Taotlusi
- nõudma
- vastuste
- vastutav
- kaasa
- rangelt
- Oht
- riskide
- rollid
- s
- liivakast
- kontrolli
- SEC
- kindlustama
- turvalisus
- Turvameetmed
- julgeolekupoliitika
- turvariskid
- segmentatsioon
- tõsine
- teenus
- märgatavalt
- sarnane
- tarkvara
- tarkvaraarenduse
- mõned
- Allikad
- kiirused
- huvirühmad
- standardite
- Samm
- ladustamine
- Strateegiliselt
- Range
- selline
- süsteem
- süsteemid
- taktika
- meeskond
- tehnikat
- Testimine
- et
- .
- Neile
- Seal.
- Need
- see
- oht
- nurjata
- et
- traditsiooniline
- Rong
- koolitus
- edastamine
- läbipaistvus
- liigid
- tüüpiliselt
- volitamata
- toimumas
- tundmatu
- Uudised
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- valideerimine
- kinnitamine
- Ve
- kontrollima
- versioon
- Haavatavused
- jalutamine
- we
- web
- Hästi
- M
- millal
- mis
- kuigi
- hea meelega
- Win-Win
- koos
- ilma
- kirjutama
- kirjutada kood
- XSS
- sa
- Sinu
- sephyrnet
