Khóa LLM của bạn: Rút phích cắm

Nghe có vẻ giống khoa học viễn tưởng, nhưng với tất cả sự cường điệu xung quanh AI, mối nguy hiểm về “bắt cóc” là điều đáng nói đến.

Nó diễn ra như thế này - các công ty có đủ khả năng xây dựng LLM nội bộ của riêng mình sẽ đưa tất cả IP có giá trị của họ (tài sản trí tuệ, bao gồm mọi thứ từ thiết kế bí mật thương mại đến chiến dịch tiếp thị và chiến lược sản phẩm) vào mô hình để tạo ra các phản hồi phù hợp. Về cơ bản, mặc dù vẫn là mô hình AI không có tri giác nhưng nó cũng là kho lưu trữ tất cả thông tin có giá trị nhất mà công ty có.

Điều này khiến nó trở thành mục tiêu tuyệt vời cho kẻ tấn công tội phạm hoặc thậm chí là một đối thủ cạnh tranh phi đạo đức. Nếu nó có thể bị đầu độc để tạo ra những phản hồi xấu, được nhân bản để cung cấp cho kẻ tấn công nhiều kiến thức nội bộ hơn mức họ biết phải làm gì, hoặc thậm chí bằng cách nào đó bị khóa để đòi tiền chuộc, thì nó có thể gây ra thiệt hại rất lớn cho công ty.

Các công ty đấu tranh để bảo mật hệ thống của họ, với các tiêu đề thường xuyên cho thấy các doanh nghiệp lớn đang bị xâm phạm. Một mô hình LLM, bao gồm mọi thứ về công ty, sẽ nhanh chóng trở thành mục tiêu ưa thích của các vụ 'bắt cóc' ảo.

Cho dù đó là trường hợp thích ứng phần mềm ransomware để mã hóa các mô hình, trích xuất chúng và phá hủy bản sao cục bộ hay biến chúng thành mối đe dọa nội bộ (giả sử, nếu LLM đã được tích hợp với hệ thống tài chính và hóa đơn của công ty mà không có sự giám sát hiệu quả của con người), thì khả năng vì tác hại là kịch tính.

Tệ hơn nữa, giá trị của những mô hình này sẽ đến từ tính sẵn có và khả năng tiếp cận của chúng trong công ty. Nếu không ai có thể sử dụng chúng thì chúng chẳng khác gì một bể chứa tài nguyên. Chúng phải được sử dụng hiệu quả để có giá trị và điều đó có nghĩa là chúng phải có thể truy cập được. Làm cách nào để chúng tôi kết hợp nhu cầu về tính khả dụng với nhu cầu về bảo mật trên các hệ thống này?

Bảo mật phần mềm có đủ không?

Có lẽ mạng được xác định bằng phần mềm có thể là một giải pháp? Vấn đề là bất kỳ giải pháp phần mềm nào cũng dễ bị xâm phạm. Và nếu chúng ta đang nói về một LLM đã được tích hợp với các hệ thống hành chính (điều này đã được thực hiện, đạo đức và rủi ro của việc này là cả một bài viết - có thể là một cuốn sách), thì bản thân nó sẽ đơn giản đối với một kẻ độc hại. nhóm để nhắc AI tạo đường cho các cuộc tấn công tiếp theo.

Các giải pháp phần mềm và các thiết bị cổ điển như tường lửa và điốt dữ liệu chắc chắn có một vị trí trong thiết kế hệ thống AI an toàn, nhưng thứ gì đó có rất nhiều giá trị đối với một công ty sẽ biện minh cho một cách tiếp cận tuyệt đối hơn nhiều. Nếu chúng ta đi theo trường phái cũ, điều chúng ta sẽ nói đến như là phương sách cuối cùng cho bất kỳ cuộc tấn công nào là rút phích cắm. Cuối cùng, trừ khi kẻ tấn công có thể thay đổi các định luật vật lý (hoặc đang ngồi bên trong trung tâm dữ liệu, điều này khó xảy ra), việc rút phích cắm mạng là điều không thể tránh khỏi.

Vấn đề là việc rút và kết nối lại mạng cần có thời gian - việc gọi điện cho kỹ sư mạng của bạn để cắm hoặc rút mạng mỗi khi bạn muốn gửi lời nhắc được ủy quyền dường như không phải là một lựa chọn tuyệt vời.

Lễ phá lửa Goldilock

Gần đây tôi tình cờ thấy một thiết bị bảo mật khiến tôi rất ấn tượng, điều này ngày nay không còn xảy ra thường xuyên nữa. Đó không phải là do công nghệ tường lửa AI web tối lượng tử hoàn toàn mới như rất nhiều nhà cung cấp quảng cáo ngày nay. Thay vào đó, đó là bởi vì đó là một công ty đã thực hiện một ý tưởng rất cũ, nghĩ về nó và cập nhật nó theo cách mở ra rất nhiều khả năng cho cấu trúc liên kết mạng an toàn.

Cách tiếp cận này rất đơn giản và khá khó đánh bại (rõ ràng không có gì an toàn 100%, nhưng các vectơ tấn công chống lại sự ngắt kết nối vật lý rất thưa thớt). Về cơ bản, FireBreak (tất nhiên là trái ngược với tường lửa) rút cáp mạng theo lệnh - hoặc cắm lại. Không hẳn là có người trực tại trung tâm dữ liệu để thao tác cáp theo yêu cầu, nhưng đó là một cách dễ dàng để suy nghĩ về nó - ngoại trừ việc người đó có thể cắm hoặc rút cáp trong một phần giây để phản hồi lời nhắc từ bất kỳ phương pháp nào bạn chọn.

Thông thường các mạng quản lý chỉ được phân tách bằng tường lửa, trong khi bản thân FireBreak có mặt phẳng điều khiển hoàn toàn nằm ngoài băng tần của mạng. Tôi có thể dễ dàng tưởng tượng việc kết hợp FireBreak với hệ thống tạo yêu cầu của bạn để chỉ kết nối vật lý các mặt phẳng quản lý trong các khoảng thời gian thay đổi đã xác định, khiến chúng không khả dụng ngay cả với kẻ tấn công có đặc quyền nhất mà không phải trải qua quy trình được ghi lại.

“Hoạt động trong cái gọi là 'kỷ nguyên hậu vi phạm', ngành an ninh dường như cam chịu với quan điểm rằng các cuộc tấn công mạng là vấn đề ' khi nào' chứ không phải ' nếu' . Tại Goldilock, chúng tôi muốn tìm cách trao quyền cho các cá nhân và tổ chức để họ chịu trách nhiệm và kiểm soát nhiều hơn những gì xảy ra với dữ liệu của họ. Sản phẩm chủ lực của chúng tôi, FireBreak, ra đời từ ý tưởng này. Cách tiếp cận dựa trên phần cứng của nó cho phép người dùng phân đoạn vật lý tất cả các tài sản kỹ thuật số, từ LLM đến toàn bộ mạng, từ xa, ngay lập tức và không cần sử dụng internet.

Điều này cho phép người dùng kết nối và ngắt kết nối vật lý khi được yêu cầu, từ mọi nơi trên thế giới, ẩn mọi tài sản khỏi tầm nhìn và nâng cao độ sâu phòng thủ hiện có của họ, bao gồm cả chống lại AI, về cơ bản chỉ là một loại phần mềm.

Cuối cùng, chúng tôi muốn mọi người suy nghĩ lại về những gì cần được lưu giữ trực tuyến và tránh xa mô hình "luôn bật" có thể khiến dữ liệu nhạy cảm bị lộ. Bởi vì bất kỳ dữ liệu nào được lưu trữ trực tuyến đều có nguy cơ bị xâm phạm. Với việc ngày càng có nhiều công ty đào tạo các mô hình LLM nội bộ của họ, một lĩnh vực mới cần cân nhắc về bảo mật cần phải được thực hiện. Phân đoạn mạng phải là một phần của chiến lược an ninh mạng toàn diện nhằm ngăn chặn các tác nhân xấu và đảm bảo chúng có thể bị ngăn chặn nếu chúng vi phạm các thông số bên ngoài.”

-- Tony Hasek, Giám đốc điều hành và Đồng sáng lập của Goldilock

Vậy điều này giúp ích gì cho vụ bắt cóc LLM?

Các mô hình LLM rất lớn. Không ai có thể sao chép một cái trong vài giây. Chúng cũng có thể được sử dụng không đồng bộ - chúng không phụ thuộc vào kết nối liên tục để tạo phản hồi cho lời nhắc và có thể dễ dàng kết nối lại và gửi khi hoàn tất thay vì làm việc trong phiên tương tác.

Người dùng không cần phải có phiên hoạt động với LLM trong khi họ đang tạo lời nhắc. Họ không cần phải có kết nối hoạt động trong khi chờ đợi phản hồi được tạo. Chỉ kết nối trong một phần giây cần thiết để gửi lời nhắc hoặc nhận phản hồi là một cách rất hiệu quả để giảm thiểu thời gian tiếp xúc với các mối đe dọa.

Việc ngắt kết nối/kết nối lại này diễn ra quá nhanh khiến con người không thể nhận ra bất kỳ độ trễ nào và LLM có rất ít trường hợp sử dụng quan trọng về mặt thời gian ở mức micro giây.

Đây không phải là lớp bảo mật duy nhất có thể áp dụng và có nhiều cách khác có thể áp dụng nhưng chắc chắn đây là một cách đáng để suy nghĩ.