OWASP发布大模型安全风险与应对策略（QA测试重点关注）

news2024/10/9 6:44:53

开放式 Web 应用程序安全项目（OWASP）发布了关于大模型应用的安全风险，这些风险不仅包括传统的沙盒逃逸、代码执行和鉴权不当等安全风险，还涉及提示注入、对话数据泄露和数据投毒等人工智能特有的安全风险。

帮助开发者和测试同学更好地理解和应对这些挑战，我们介绍LLM应用中常见的安全问题，并提供了相应的应对策略。

一、提示注入（Promt Injections）

问题概述：提示注入漏洞涉及狡猾的输入，导致未检测到的操作，影响范围从数据暴露到未经授权的操作。攻击者通过构建的输入提示操纵LLM，利用对LLM输出的固有信任，实现恶意目标。

应对策略：

权限限制：将LLM的权限限制为其功能所需的最低权限。
输入验证：实施可靠的输入验证和清理方法，过滤掉潜在恶意提示输入。
信任边界：在LLM、外部源和可扩展功能之间建立信任边界。

二、不安全输出（Insecure Output Handling）

问题概述：当插件或应用程序盲目接受LLM输出并直接传递给后端或客户端函数时，可能导致XSS、CSRF等安全漏洞。

应对策略：

输出编码：将来自模型的输出进行编码，减少不必要的代码解释。
输入验证：对从模型到后端函数的响应应用适当的输入验证。

三、训练数据投毒（Training Data Poisoning）

问题概述：攻击者通过引入漏洞的训练数据，破坏LLM模型，使用户接触到不正确的信息。

应对策略：

数据验证：验证培训数据的供应链和合法性。
沙盒隔离：确保存在足够的沙盒，防止模型抓取意外数据源。
模型多样化：针对不同用例使用单独的训练数据制作不同的模型。

四、拒绝服务（Denial of Service）

问题概述：攻击者以特别消耗资源的方式与LLM交互，导致服务质量下降或高资源成本。

应对策略：

资源限制：限制每个请求和步骤的资源使用量。
队列控制：限制系统中对LLM响应的排队操作数和总操作数。

五、供应链完整性风险

问题概述：LLM供应链可能受到攻击，影响训练数据、ML模型和部署平台的完整性。

应对策略：

供应商审查：仔细审查来源和供应商。
漏洞扫描：对组件进行漏洞扫描，包括开发和测试阶段。
稳健性测试：对提供服务的整个链路进行稳健性测试。

六、权限问题（Permission Issues）

问题概述：插件之间缺乏授权跟踪，可能导致权限提升、机密性丢失和远程代码执行。

应对策略：

手动授权：需要手动授权敏感插件执行的任何操作。
插件隔离：每个用户输入调用不超过一个插件，调用间重置插件数据。
污点跟踪：对所有插件内容执行污点跟踪，确保授权级别对应。

七、数据泄漏

问题概述：LLM通过响应意外泄露敏感信息，导致隐私和安全漏洞。

应对策略：

数据清理：执行足够的数据清理和验证。
用户教育：让用户了解与LLM交互的风险。

八、其他安全问题概览

除了上述六大问题外，OWASP还指出了其他四个关键安全问题，包括沙盒不足、模型窃取、模型逆向工程和隐私侵犯。这些问题同样需要引起开发者的重视，并采取相应的预防措施。

沙盒不足：确保LLM在受限的环境中运行，防止其访问敏感资源。
模型窃取：通过加密和访问控制保护模型不被非法复制。
模型逆向工程：使用混淆和加密技术增加模型逆向工程的难度。
隐私侵犯：明确用户数据的使用条款，确保用户隐私得到保护。

九、大模型的攻击与防御

对于大模型的威胁来说，可以分为攻击和防御，前者研究的是如何攻击模型，后者研究的是如何防御，提升模型鲁棒性。

攻击包括了这4种攻击类别：

1、白盒攻击，主要是基于输入梯度产生对抗样本，相关算法有FGSM、BIM、PGD、DeepFool等；

2、基于迁移的黑盒攻击，利用AI系统获取训练数据，训练一个替代模型，用于生成对抗样本，相关算法有MIM、DIM、TI等；

3、基于预测分数的黑盒攻击，利用数据获取AI系统的预测分数，生成对抗样本，相关算法有ZOO、NES、SPSA、P-RGF等；

4、基于决策的黑盒攻击，利用数据获取AI系统的预测标签，生成对抗样本，相关研究有基于决策边界攻击的方式、基于优化器的方法、基于进化攻击的方法。

防御包括了这4种防御策略：

1、对抗训练，在训练模型的时候加入对抗样本，提升模型鲁棒性，相关算法有PGD-AT、TRADES、SMART等；

2、认证防御，这方面的研究包括了训练可认证的鲁棒模型、随机化平滑等方法，但这类方法要么计算量大，要么难以达到SOTA鲁棒性；

3、推理阶段防御，这方面的研究主要尝试在推理阶段解决这个问题，譬如对输入数据先进行线性转换或去燥等处理，去除对抗扰动，获得干净的输入。

4、对抗检测，这部分的研究主要是研究如何识别对抗样本。

十、总结与提高

随着深度学习技术的发展和研究的深入，未来大模型的攻防将在动态抗衡中不断升级，同时，大模型需要应对的新型安全威胁也将不断涌现和升级。

ChatGPT 可能已经具备了某种意识，新的优先级的事情是要阻止超级人工智能干坏事。未来可能面临以下新型安全问题。

一是自适应对抗攻击。随着大模型变得更加复杂，攻击者可能会开发出能够自适应模型防御机制的高级对抗性攻击，这些攻击可能在大模型更新或变更时迅速演化。

二是深度伪造与信任危机。利用大模型生成的深度伪造内容将更加逼真，这可能导致公众对数字媒体的信任度下降，引发社会层面的信息验证危机。

三是人工智能辅助的自动化攻击。人工智能技术本身将被用于自动化攻击流程，实现快速识别系统漏洞、自动生成攻击脚本，大幅提高攻击效率和威胁级别。

四是伦理和法律合规性问题。随着大模型在更多敏感领域的应用，如医疗、司法等，它们必须符合更高的伦理和法律标准。未来可能会出现更多关于大模型决策过程和结果的合规性争议。

五是大模型的可解释性和透明度问题。大模型的决策过程往往不够透明，这可能导致在关键领域中难以对其输出结果进行验证和信任。未来可能会出现更多要求提高大模型可解释性和透明度的需求。

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/2198355.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！