Недавно компания Contrast Security запустила в своей платформе тестирования безопасности приложений новаторскую функцию, позволяющую защитить организации от угроз инъекции запроса в библиотеках языковых моделей (LLM).
Инъекция в подсказку, занимающая одно из первых мест в десятке лучших для библиотек LLM по версии Open Web Application Security Project (OWASP), подразумевает выполнение вредоносного и несанкционированного кода путем внедрения вредоносных сущностей в подсказку LLM. Contrast Security поясняет, что подобные атаки могут привести к таким негативным последствиям, как вывод ошибочных или вредоносных ответов LLM, генерация вредоносного кода, обход контентных фильтров или раскрытие конфиденциальных данных. При этом объектами вторжения могут быть любые информационные ресурсы, на которые опирается LLM, - от веб-сайтов до электронной почты и документов.
Для устранения этого риска Contrast Security поддержал внедрение возможностей тестирования LLM от OpenAI в свою платформу тестирования безопасности приложений (AST). Эта новая функция использует средства защиты во время выполнения для мониторинга и анализа поведения приложений, не ограничиваясь сканированием исходного кода. В тех случаях, когда пользовательский ввод через API OpenAI попадает в LLM, автоматически запускается тест на внедрение подсказок.
Компания утверждает, что такая стратегия является быстрой, несложной и точной, позволяя в режиме реального времени уведомлять разработчиков о возможных уязвимостях. Такой подход позволяет организациям тщательно изучать и распознавать восприимчивые потоки данных, поступающие в их LLM, повышая уровень безопасности за счет улучшения видимости потенциальных рисков и предотвращения непреднамеренного воздействия.
Стив Уилсон, директор по продуктам Contrast, который также является руководителем проекта OWASP Top 10 for LLMs, подчеркнул настоятельную необходимость в новой возможности. Он заявил: "Наша группа глубоко изучила множество векторов атак на LLM-системы, и неоднократно выяснялось, что наиболее серьезной уязвимостью является prompt injection. Являясь первой службой безопасности, которая отреагировала на этот новый список отраслевых стандартов, Contrast предоставляет эту важную возможность".
В условиях стремительного развития киберугроз на фоне цифровой трансформации отраслей промышленности предприятиям целесообразно обращаться к таким платформам, как AppMaster, для разработки безопасных внутренних, веб- и мобильных приложений. AppMaster no-code - это комплексный инструмент, который имеет преимущество перед другими платформами, позволяя клиентам создавать визуально простые модели данных, масштабируемую бизнес-логику, REST API и конечные точки WSS. Его мощные характеристики в сочетании с быстрой генерацией приложений обеспечивают оптимальную защиту от потенциальных киберугроз, что делает его надежным выбором для компаний, стремящихся к надежной производительности и безопасности приложений.