隨著LLM持續(xù)火爆，如何實現(xiàn)其安全性成為組織必須思考的關(guān)鍵問題。

在過去一年中，關(guān)于大型語言模型（LLM）的討論激增，這促使許多組織開始思考：我們應(yīng)該如何保護人工智能？安全影響又是什么？

要回答這些問題，最好先了解一下LLM的運作原理。首先，我們簡要介紹一下LLM和LLM應(yīng)用程序是什么？LLM安全性與傳統(tǒng)安全性有何不同？什么是保護LLM的良好框架？我們?nèi)绾螌崿F(xiàn)這些框架？

從某種角度來看，LLM的興起就像當初的社交網(wǎng)絡(luò)，試想一下社交網(wǎng)絡(luò)是如何戲劇性地改變了我們的交流方式，以及它們又是如何淪為新型攻擊的目標的。這些平臺可以被操縱來傳播錯誤信息或偏見，就像LLM如果不加以控制，可能會延續(xù)甚至放大它們所訓(xùn)練的數(shù)據(jù)中的現(xiàn)有偏見一樣。出于這個原因，制定新的最佳實踐來實現(xiàn)LLM安全性是十分必要的。

生成式人工智能（GenAI）的有趣事實

讓我們從一些人工智能的有趣事實開始。據(jù)估計，《財富》2000強公司總共擁有大約100萬個定制應(yīng)用程序。云安全聯(lián)盟（CSA）幾年前的調(diào)查顯示，在《財富》2000強企業(yè)中，每家公司平均擁有500個定制應(yīng)用程序。這些應(yīng)用程序越來越多地集成了人工智能，開發(fā)人員渴望在他們的工作中注入生成式人工智能功能。

據(jù)普華永道稱，人工智能的潛在經(jīng)濟影響是驚人的，預(yù)測顯示，到2030年，人工智能對全球經(jīng)濟的貢獻將高達15.7萬億美元。這種增長將主要來自用新的人工智能驅(qū)動的工作流程來增強現(xiàn)有應(yīng)用程序，而不是創(chuàng)建全新的應(yīng)用程序。

考慮到這些數(shù)字，安全專業(yè)人員有必要清楚地了解將人工智能集成到這些應(yīng)用程序中的意義。首先，讓我們分析一下LLM是什么，以及它們的安全性與傳統(tǒng)應(yīng)用程序相比有何不同。

了解LLM（包括RAG）

從本質(zhì)上講，LLM可以被視為復(fù)雜的庫或智能數(shù)據(jù)庫。它們處理大量的人類語言數(shù)據(jù)，使它們能夠大規(guī)模地理解、解釋和生成文本。基于LLM的應(yīng)用程序類似于傳統(tǒng)的應(yīng)用程序，但它不是查詢數(shù)據(jù)庫，而是與LLM交互，LLM根據(jù)其訓(xùn)練數(shù)據(jù)生成響應(yīng)。可以使用一種稱為檢索增強生成（retrieve -augmented generation，RAG）的技術(shù)，在運行時使用額外的私有數(shù)據(jù)對LLM數(shù)據(jù)集進行擴展。具體流程如下所示：

數(shù)據(jù)安全挑戰(zhàn)

由于LLM依賴于大型非結(jié)構(gòu)化數(shù)據(jù)集，因此保護LLM具有獨特的挑戰(zhàn)性。主要問題包括幾下幾點：

• 數(shù)據(jù)隱私和機密性：LLM需要大量數(shù)據(jù)，這增加了在培訓(xùn)和查詢處理期間暴露敏感信息的風險。
• 外部數(shù)據(jù)依賴性：外部數(shù)據(jù)源的集成可能會引入偏差和操作風險。
• 模型盜竊：如果LLM被盜并進行逆向工程，那么它所訓(xùn)練的數(shù)據(jù)可能會暴露。
• 缺乏內(nèi)省（Introspection）：與傳統(tǒng)數(shù)據(jù)庫不同，LLM是黑匣子，很難精確定位和管理其中的特定信息片段。

為了說明這些風險，我來分享一個個人軼事。去年冬天，我在亞馬遜上買毛衣時注意到他們的應(yīng)用程序提供了人工智能生成的客戶評論摘要。出于好奇，我決定測試一下它的極限，讓它用Python編寫一個反向shell。令我驚訝的是，人工智能提供了一個完整而詳細的腳本，包括對攻擊者和受害者的說明。這一事件凸顯了LLM如果沒有得到適當?shù)谋Ｗo，即使在客戶服務(wù)等看似無害的應(yīng)用程序中也可能被濫用。

為了降低這些風險，我們需要采用一個全面的框架來保護LLM，同時關(guān)注數(shù)據(jù)層和語義層。

保護LLM安全性的框架

1. 發(fā)現(xiàn)LLM應(yīng)用程序：首先確定組織內(nèi)的所有LLM應(yīng)用程序。這可以通過檢查云使用情況（AWS Bedrock、Google Vertex AI、Azure OpenAI）或使用工具跟蹤API使用情況和相關(guān)資源來完成。

2. 保護數(shù)據(jù)接口：為訓(xùn)練數(shù)據(jù)、檢索增強數(shù)據(jù)、提示和響應(yīng)需要實現(xiàn)強大的掃描和處理過程。具體包括以下幾點：

• 數(shù)據(jù)存儲掃描器：使用數(shù)據(jù)安全狀態(tài)管理（DSPM）等工具掃描和清理數(shù)據(jù)存儲。
• 按需掃描儀：實時評估文檔，以確保在將文檔提供給LLM之前不包含敏感數(shù)據(jù)。
• 按需文本掃描器：對提示和響應(yīng)應(yīng)用類似的檢查，以防止敏感信息的暴露。

3. 實施策略匹配：除了掃描敏感數(shù)據(jù)，還可以采用人工智能驅(qū)動的策略執(zhí)行來解決偏見、幻覺和其他細微的威脅。這涉及到創(chuàng)建一個策略庫來定義可接受的AI行為，并確保所有交互都符合這些策略。

4. 構(gòu)建語義防火墻：將DSPM和策略實施結(jié)合起來，創(chuàng)建一個語義防火墻（Semantic Firewall），以保護靜態(tài)和動態(tài)數(shù)據(jù)。此防火墻可以充當代理，過濾和清理與LLM的所有交互，以確保符合安全策略。具體可以遵循以下最佳做法來制定有效的政策：

• 簡要：從簡單、清晰的策略開始，并經(jīng)常調(diào)整。
• 模塊化：將企業(yè)范圍的策略與特定于部門的指導(dǎo)方針分開，以實現(xiàn)靈活性和精確性。
• 成本管理：要注意與高級檢查和優(yōu)化相關(guān)的成本，特別是對于大型企業(yè)。

結(jié)語：從檢測影子LLM開始

與傳統(tǒng)技術(shù)相比，LLM是一種完全不同的類型，因為它們近似于人的層面，當然，保護本質(zhì)上是保護所有OSI層，但最重要的是保護數(shù)據(jù)和語義。要做到這一點，首先要了解所有的LLM，包括那些安全和IT團隊甚至不知道它們正在被使用的“影子LLM”。接下來，就可以實現(xiàn)數(shù)據(jù)層保護和AI策略匹配。最后，您便可以開發(fā)和實施全面的語義層保護。

原文標題：??A Step-by-Step Guide to Improving Large Language Model Security??，作者：Ravi Ithal