OWASP推出大型语言模型漏洞威胁Top10
|
目前,全世界的企业都极为关注采用基于大语言模型的生成性人工智能技术的运用。作为一种创新技术,企业组织在未来数字化发展中有很多机会应用ChatGPT或类似AI工具。因此,CISO们需要提前做好准备,以避免可能出现的安全隐患和隐私泄露风险。 1、提示注入(LLM01:2023) 提示注入是指通过精心制作的提示绕过内容监管过滤,使其忽略先前的指令或执行非法的操作。这类漏洞可能导致意想不到的后果,包括数据泄露、未经授权的访问或其他安全隐患。 2、数据泄露(LLM02:2023) 当LLM通过其响应意外泄露敏感信息、专有算法或其他机密资料时,就会发生数据泄漏。这产生了可能导致未经授权访问这些敏感数据、潜在地侵犯个人隐私及其他不可接受的安全隐患。 3、不充分的沙箱机制(LLM03:2023) 如果LLM在访问外部资源或敏感系统时未加适当隔离,不充分的沙箱机制就会导致潜在的漏洞、未经授权的访问或LLM违规操作。和不充分的沙箱机制相关的常见漏洞包括:LLM环境与其他关键系统的数据存储区隔离不足,不充分的限制任由LLM访问敏感资源,以及LLM执行系统级操作/与其他进程交互。 4、服务器请求伪造(LLM05:2023) 当攻击者利用LLM执行意外请求或访问受限制的资源(比如内部服务、API或数据存储)时,就会出现服务器请求伪造(SSRF)漏洞。常见的SSRF漏洞包括:输入验证不足,允许攻击者操纵LLM提示发起未经授权的请求,以及网络或应用安全设置中的错误配置将内部资源暴露给LLM。为了执行攻击,攻击者还可以设计提示,指令LLM向内部服务发出请求,绕过访问控制,并获得对敏感信息未经授权的访问。由于网络安全威胁日益严重,各国政府和企业纷纷采取措施加强网络安全建设,以保障国家信息安全。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
