OWASP: LLM aplikációk 2025
Az OWASP (Open Worldwide Application Security Project) nemrégiben frissítette a Nagy Nyelvi Modellek (LLM) és a generatív mesterséges intelligencia (GenAI) biztonsági kockázatait összegző Top 10 listáját. A frissítés során a “érzékeny információk kiszivárgása” kockázat a hatodik helyről a másodikra került, ami az AI alkalmazások növekvő elterjedésével kapcsolatos aggodalmakat tükrözi.
Számos esetben előfordult, hogy érzékeny információk véletlenül kerültek nyilvánosságra a modellek kimenetein vagy kompromittált rendszereken keresztül. A frissített lista harmadik helyére a “beszállítói lánc sebezhetőségei” kerültek, amelyek az LLM-ek és a GenAI eszközök integritását veszélyeztethetik. Wilson kiemelte, hogy az AI-specifikus beszállítói láncban jelentős problémák merültek fel, beleértve a mérgezett alapmodelleket és szennyezett adatállományokat, amelyek valós környezetben is komoly problémákat okoztak.
A “prompt injekció” továbbra is az első helyen áll a kockázatok között. Ez a technika lehetővé teszi a felhasználók számára, hogy manipulálják az LLM-ek viselkedését vagy kimenetét speciális utasításokkal, megkerülve a biztonsági intézkedéseket, és potenciálisan káros tartalmakat generálva vagy jogosulatlan hozzáférést biztosítva.
Az új kockázatok között szerepel a “vektorok és beágyazások” sebezhetősége, amely a nyolcadik helyen áll. Ez arra utal, hogy a vektorok és beágyazások generálásának, tárolásának vagy lekérésének gyengeségei kihasználhatók rosszindulatú tevékenységekre, például káros tartalmak beillesztésére, a modellek kimenetének manipulálására vagy érzékeny információkhoz való hozzáférésre.
A hetedik helyen az “rendszer prompt szivárgás” található, amely arra utal, hogy a modellek viselkedését irányító rendszer promptok vagy utasítások érzékeny információkat tartalmazhatnak, amelyek nem szándékoltan kerülnek nyilvánosságra.
Ezek a frissítések tükrözik az LLM-ek és a GenAI eszközök valós alkalmazásában tapasztalt kockázatok jobb megértését, és hangsúlyozzák a biztonsági intézkedések fontosságát ezen technológiák használata során.