Trang chủ Thẻ Lưu trữ

Cuộc chiến dữ liệu LLM mã nguồn mở

2025-03-11

Làn sóng vi phạm phơi bày lỗ hổng

Việc áp dụng nhanh chóng các Mô hình ngôn ngữ lớn (LLM) mã nguồn mở như DeepSeek và Ollama đã trở thành con dao hai lưỡi. Trong khi các doanh nghiệp đang tận dụng những công cụ mạnh mẽ này để tăng hiệu quả, thì chính sự cởi mở thúc đẩy sự phát triển của chúng lại tạo ra sự gia tăng song song về rủi ro bảo mật dữ liệu. Một báo cáo gần đây do NSFOCUS Xingyun Lab tổng hợp đã vẽ ra một bức tranh rõ ràng: chỉ trong hai tháng đầu năm 2025, thế giới đã chứng kiến năm vụ vi phạm dữ liệu quan trọng liên quan trực tiếp đến LLM. Những sự cố này dẫn đến việc lộ ra một lượng lớn thông tin nhạy cảm, từ lịch sử trò chuyện bí mật và khóa API đến thông tin đăng nhập quan trọng của người dùng. Những sự kiện này là một hồi chuông cảnh tỉnh, làm nổi bật các lỗ hổng bảo mật thường bị bỏ qua ẩn dưới bề mặt của công nghệ AI tiên tiến. Phần khám phá này sẽ phân tích năm sự cố này, mổ xẻ các phương pháp tấn công, ánh xạ chúng tới khung MITRE ATT&CK đã được thiết lập và phơi bày các điểm mù bảo mật mà các tổ chức phải khẩn trương giải quyết.

Sự cố 1: Cơ sở dữ liệu cấu hình sai của DeepSeek – Cánh cửa vào các cuộc trò chuyện riêng tư

Thời gian: 29 tháng 1 năm 2025

Quy mô rò rỉ: Hàng triệu dòng dữ liệu nhật ký, bao gồm lịch sử trò chuyện nhạy cảm và khóa truy cập.

Diễn biến sự kiện:

Nhóm nghiên cứu bảo mật tại Wiz đã khởi xướng khám phá này. Họ đã xác định một dịch vụ ClickHouse bị lộ có thể truy cập được trên internet công cộng. Điều tra sâu hơn xác nhận rằng dịch vụ này thuộc về công ty khởi nghiệp AI của Trung Quốc, DeepSeek. ClickHouse, được thiết kế để xử lý hiệu quả các tập dữ liệu lớn trong xử lý phân tích, thật không may lại trở thành cửa ngõ vào dữ liệu nội bộ của DeepSeek. Các nhà nghiên cứu đã truy cập khoảng một triệu dòng nhật ký của DeepSeek, tiết lộ một kho tàng thông tin nhạy cảm, bao gồm nhật ký trò chuyện lịch sử và các khóa truy cập quan trọng.

Wiz đã nhanh chóng cảnh báo DeepSeek về lỗ hổng, dẫn đến hành động ngay lập tức và xử lý an toàn dịch vụ ClickHouse bị lộ.

Phân tích cuộc tấn công:

Vấn đề cốt lõi nằm ở lỗ hổng của ClickHouse đối với truy cập trái phép. ClickHouse, một hệ thống quản lý cơ sở dữ liệu hướng cột mã nguồn mở, vượt trội trong việc truy vấn và phân tích thời gian thực các tập dữ liệu khổng lồ, thường được sử dụng để phân tích nhật ký và hành vi người dùng. Tuy nhiên, khi được triển khai mà không có các biện pháp kiểm soát truy cập thích hợp, giao diện API bị lộ của nó cho phép bất kỳ ai thực thi các lệnh giống như SQL.

Cách tiếp cận của nhóm bảo mật Wiz liên quan đến việc quét có phương pháp các tên miền phụ hướng ra internet của DeepSeek. Ban đầu tập trung vào các cổng tiêu chuẩn 80 và 443, họ đã tìm thấy các tài nguyên web điển hình như giao diện chatbot và tài liệu API. Để mở rộng tìm kiếm, họ đã mở rộng sang các cổng ít phổ biến hơn như 8123 và 9000, cuối cùng phát hiện ra các dịch vụ bị lộ trên nhiều tên miền phụ.

Dữ liệu nhật ký bị xâm phạm, có từ ngày 6 tháng 1 năm 2025, chứa rất nhiều thông tin nhạy cảm: nhật ký cuộc gọi, nhật ký văn bản cho các điểm cuối API nội bộ của DeepSeek, lịch sử trò chuyện chi tiết, khóa API, chi tiết hệ thống phụ trợ và siêu dữ liệu hoạt động.

Phân loại sự kiện VERIZON: Lỗi khác

Ánh xạ khung MITRE ATT&CK:

  • T1590.002 (Thu thập thông tin mạng nạn nhân - Phân giải tên miền): Kẻ tấn công có thể đã sử dụng tên miền chính để thực hiện liệt kê tên miền phụ.
  • T1046 (Khám phá dịch vụ web): Kẻ tấn công đã xác định các cổng và dịch vụ mở liên quan đến miền mục tiêu.
  • T1106 (Giao diện gốc): Kẻ tấn công đã tận dụng API ClickHouse để tương tác với cơ sở dữ liệu.
  • T1567 (Đánh cắp dữ liệu qua dịch vụ web): Kẻ tấn công đã sử dụng API ClickHouse để đánh cắp dữ liệu.

Sự cố 2: Tấn công chuỗi cung ứng của DeepSeek – Con ngựa thành Troy trong mã

Thời gian: 3 tháng 2 năm 2025

Quy mô rò rỉ: Thông tin đăng nhập của người dùng và các biến môi trường.

Diễn biến sự kiện:

Cuộc tấn công bắt đầu vào ngày 19 tháng 1 năm 2025, khi một người dùng độc hại, được xác định là ‘bvk’, đã tải lên hai gói Python độc hại có tên ‘deepseek’ và ‘deepseekai’ lên kho lưu trữ PyPI (Python Package Index) phổ biến.

Nhóm tình báo về mối đe dọa tại Trung tâm bảo mật chuyên gia công nghệ tích cực (PT ESC) đã phát hiện hoạt động đáng ngờ này trong cùng ngày. Phân tích của họ đã xác nhận bản chất độc hại của các gói và họ đã nhanh chóng thông báo cho quản trị viên PyPI.

Quản trị viên PyPI đã nhanh chóng xóa các gói độc hại và thông báo cho PT ESC. Mặc dù phản hồi nhanh chóng, số liệu thống kê cho thấy phần mềm độc hại đã được tải xuống hơn 200 lần trên 17 quốc gia thông qua các kênh khác nhau. Các gói độc hại sau đó đã được cách ly.

Phân tích cuộc tấn công:

Các gói độc hại được tải lên bởi ‘bvk’ tập trung vào hai mục tiêu chính: thu thập thông tin và đánh cắp các biến môi trường. Dữ liệu bị đánh cắp bao gồm thông tin nhạy cảm như thông tin đăng nhập cơ sở dữ liệu, khóa API và thông tin đăng nhập truy cập cho bộ lưu trữ đối tượng S3. Tải trọng độc hại đã được kích hoạt bất cứ khi nào người dùng thực thi DeepSeek hoặc Deepseekai từ dòng lệnh.

Kẻ tấn công đã sử dụng PipeDream làm máy chủ chỉ huy và kiểm soát để nhận dữ liệu bị đánh cắp. Sự cố làm nổi bật một số yếu tố góp phần:

  • Tấn công nhầm lẫn phụ thuộc: Kẻ tấn công đã khai thác sự khác biệt ưu tiên giữa các gói riêng tư của tổ chức và các gói công khai có cùng tên.
  • Giả mạo tên gói: Các gói độc hại bắt chước tên thương hiệu của DeepSeek, một công ty AI nổi tiếng, để đánh lừa người dùng.
  • Điểm yếu đăng ký PyPI: Quy trình đăng ký PyPI thiếu xác minh hiệu quả danh tính nhà phát triển và tính hợp pháp của tên gói.
  • Nhận thức về bảo mật của nhà phát triển: Các nhà phát triển có thể đã vô tình cài đặt các gói độc hại có tên tương tự.

Phân loại sự kiện VERIZON: Kỹ thuật xã hội

Ánh xạ khung MITRE ATT&CK:

  • T1593.003 (Tìm kiếm trang web/miền mở - Tìm kiếm kho lưu trữ phụ thuộc có sẵn công khai): Kẻ tấn công đã tìm kiếm thông tin trên PyPI.
  • T1195.002 (Xâm phạm chuỗi cung ứng - Xâm phạm chuỗi cung ứng phần mềm): Kẻ tấn công đã sử dụng phần mềm độc hại được ngụy trang dưới dạng các phụ thuộc Python và tải nó lên PyPI.
  • T1059.006 (Trình thông dịch lệnh và tập lệnh - Python): Kẻ tấn công đã cấy mã độc vào gói, khi thực thi, sẽ làm rò rỉ dữ liệu nhạy cảm.
  • T1041 (Đánh cắp qua kênh C2): Kẻ tấn công đã đánh cắp thông tin nhạy cảm qua kênh PipeDream C2.

Sự cố 3: Chiếm quyền điều khiển LLM – DeepSeek bị nhắm mục tiêu để đánh cắp tài nguyên

Thời gian: 7 tháng 2 năm 2025

Quy mô rò rỉ: Khoảng 2 tỷ token mô hình bị sử dụng bất hợp pháp.

Diễn biến sự kiện:

Nhóm nghiên cứu mối đe dọa Sysdig ban đầu đã phát hiện ra một cuộc tấn công mới nhắm vào LLM, được đặt tên là ‘LLM jacking’ hoặc ‘LLM hijacking’, vào tháng 5 năm 2024.

Đến tháng 9 năm 2024, Sysdig báo cáo tần suất và mức độ phổ biến ngày càng tăng của các cuộc tấn công này, với DeepSeek ngày càng trở thành mục tiêu.

Vào ngày 26 tháng 12 năm 2024, DeepSeek đã phát hành một mô hình tiên tiến, DeepSeek-V3. Ngay sau đó, nhóm Sysdig phát hiện ra rằng DeepSeek-V3 đã được triển khai trong một dự án proxy ngược OpenAI (ORP) được lưu trữ trên Hugging Face.

Vào ngày 20 tháng 1 năm 2025, DeepSeek đã phát hành một mô hình suy luận có tên DeepSeek-R1. Ngay ngày hôm sau, một dự án ORP hỗ trợ DeepSeek-R1 đã xuất hiện và những kẻ tấn công bắt đầu khai thác nó, đưa nhiều ORP vào các khóa API DeepSeek.

Nghiên cứu của Sysdig chỉ ra rằng tổng số token mô hình lớn bị sử dụng bất hợp pháp thông qua ORP đã vượt quá 2 tỷ.

Phân tích cuộc tấn công:

LLM hijacking liên quan đến việc những kẻ tấn công khai thác thông tin đăng nhập đám mây bị đánh cắp để nhắm mục tiêu các dịch vụ LLM được lưu trữ trên đám mây. Những kẻ tấn công tận dụng proxy ngược OAI (OpenAI) và thông tin đăng nhập bị đánh cắp để bán quyền truy cập vào các dịch vụ LLM đã đăng ký của nạn nhân. Điều này dẫn đến chi phí dịch vụ đám mây đáng kể cho nạn nhân.

Proxy ngược OAI hoạt động như một điểm quản lý trung tâm để truy cập vào nhiều tài khoản LLM, che giấu thông tin đăng nhập và nhóm tài nguyên cơ bản. Những kẻ tấn công có thể sử dụng các LLM đắt tiền như DeepSeek mà không phải trả tiền cho chúng, chuyển hướng các yêu cầu thông qua proxy ngược, tiêu thụ tài nguyên và bỏ qua các khoản phí dịch vụ hợp pháp. Cơ chế proxy ẩn danh tính của kẻ tấn công, cho phép chúng sử dụng sai tài nguyên đám mây mà không bị phát hiện.

Mặc dù proxy ngược OAI là một thành phần cần thiết cho LLM hijacking, yếu tố quan trọng là việc đánh cắp thông tin đăng nhập và khóa cho các dịch vụ LLM khác nhau. Những kẻ tấn công thường khai thác các lỗ hổng dịch vụ web truyền thống và lỗi cấu hình (như lỗ hổng CVE-2021-3129 trong khung Laravel) để đánh cắp các thông tin đăng nhập này. Sau khi có được, những thông tin đăng nhập này cấp quyền truy cập vào các dịch vụ LLM dựa trên đám mây như Amazon Bedrock, Google Cloud Vertex AI và các dịch vụ khác.

Nghiên cứu của Sysdig tiết lộ rằng những kẻ tấn công có thể nhanh chóng làm tăng chi phí tiêu thụ của nạn nhân lên hàng chục nghìn đô la trong vòng vài giờ và trong một số trường hợp, lên tới 100.000 đô la mỗi ngày. Động cơ của những kẻ tấn công vượt ra ngoài việc thu thập dữ liệu; họ cũng kiếm lợi nhuận bằng cách bán quyền truy cập.

Phân loại sự kiện VERIZON: Tấn công ứng dụng web cơ bản

Ánh xạ khung MITRE ATT&CK:

  • T1593 (Tìm kiếm trang web/miền mở): Kẻ tấn công đã sử dụng các phương pháp OSINT (Tình báo nguồn mở) để thu thập thông tin về các dịch vụ bị lộ.
  • T1133 (Dịch vụ từ xa bên ngoài): Kẻ tấn công đã xác định các lỗ hổng trong các dịch vụ bị lộ.
  • T1586.003 (Xâm phạm tài khoản - Tài khoản đám mây): Kẻ tấn công đã khai thác các lỗ hổng để đánh cắp thông tin đăng nhập dịch vụ LLM hoặc dịch vụ đám mây.
  • T1588.002 (Có được khả năng - Công cụ): Kẻ tấn công đã triển khai một công cụ proxy ngược OAI mã nguồn mở.
  • T1090.002 (Proxy - Proxy bên ngoài): Kẻ tấn công đã sử dụng phần mềm proxy ngược OAI để quản lý quyền truy cập vào nhiều tài khoản LLM.
  • T1496 (Chiếm quyền điều khiển tài nguyên): Kẻ tấn công đã khởi động một cuộc tấn công tiêm LLM để chiếm quyền điều khiển tài nguyên LLM.

Sự cố 4: Rò rỉ dữ liệu OmniGPT – Dữ liệu người dùng được bán trên web tối

Thời gian: 12 tháng 2 năm 2025

Quy mô rò rỉ: Thông tin cá nhân của hơn 30.000 người dùng, bao gồm email, số điện thoại, khóa API, khóa mã hóa, thông tin đăng nhập và thông tin thanh toán.

Diễn biến sự kiện:

Vào ngày 12 tháng 2 năm 2025, một người dùng có tên ‘SyntheticEmotions’ đã đăng trên BreachForums, tuyên bố đã đánh cắp dữ liệu nhạy cảm từ nền tảng OmniGPT và rao bán nó. Dữ liệu bị rò rỉ được cho là bao gồm email, số điện thoại, khóa API, khóa mã hóa, thông tin đăng nhập và thông tin thanh toán của hơn 30.000 người dùng OmniGPT, cùng với hơn 34 triệu dòng hội thoại của họ với chatbot. Ngoài ra, các liên kết đến các tệp được tải lên nền tảng đã bị xâm phạm, một số chứa thông tin nhạy cảm như phiếu giảm giá và dữ liệu thanh toán.

Phân tích cuộc tấn công:

Mặc dù vectơ tấn công chính xác vẫn chưa được tiết lộ, loại và phạm vi dữ liệu bị rò rỉ cho thấy một số khả năng: tiêm SQL, lạm dụng API hoặc các cuộc tấn công kỹ thuật xã hội có thể đã cấp cho kẻ tấn công quyền truy cập vào cơ sở dữ liệu phụ trợ. Cũng có thể nền tảng OmniGPT có cấu hình sai hoặc lỗ hổng cho phép kẻ tấn công bỏ qua xác thực và truy cập trực tiếp vào cơ sở dữ liệu chứa thông tin người dùng.

Tệp ‘Messages.txt’ liên quan đến một vụ rò rỉ thứ cấp chứa khóa API, thông tin đăng nhập cơ sở dữ liệu và thông tin thẻ thanh toán, có khả năng cho phép xâm nhập sâu hơn vào các hệ thống khác hoặc giả mạo dữ liệu. Một số tài liệu do người dùng nền tảng tải lên chứa bí mật kinh doanh nhạy cảm và dữ liệu dự án, gây rủi ro cho hoạt động kinh doanh nếu bị sử dụng sai mục đích. Sự cố này là một lời nhắc nhở rõ ràng về sự cần thiết phải tăng cường bảo mật dữ liệu và bảo vệ quyền riêng tư trong các lĩnh vực AI và dữ liệu lớn. Người dùng nên hết sức thận trọng khi sử dụng các nền tảng này và các tổ chức phải thiết lập các chính sách sử dụng dữ liệu nghiêm ngặt, thực hiện các biện pháp như mã hóa, giảm thiểu dữ liệu và ẩn danh cho dữ liệu nhạy cảm. Nếu không làm như vậy có thể dẫn đến hậu quả pháp lý, danh tiếng và kinh tế đáng kể.

Phân loại sự kiện VERIZON: Lỗi khác

Ánh xạ khung MITRE ATT&CK:

  • T1071.001 (Giao thức lớp ứng dụng - Giao thức web): Kẻ tấn công có thể đã truy cập thông tin người dùng bị rò rỉ và dữ liệu nhạy cảm thông qua giao diện web của OmniGPT.
  • T1071.002 (Giao thức lớp ứng dụng - Giao diện lập trình ứng dụng): Khóa API bị rò rỉ và thông tin đăng nhập cơ sở dữ liệu có thể cho phép kẻ tấn công truy cập hệ thống thông qua API của nền tảng và thực hiện các hành động trái phép.
  • T1071.002 (Giao thức lớp ứng dụng - Thực thi dịch vụ): Kẻ tấn công có thể lạm dụng các dịch vụ hệ thống hoặc trình nền để thực thi các lệnh hoặc chương trình.
  • T1020.003 (Đánh cắp tự động - Truyền tệp): Các liên kết tệp bị rò rỉ và các tệp nhạy cảm do người dùng tải lên có thể là mục tiêu để kẻ tấn công tải xuống, thu thập thêm dữ liệu nhạy cảm cho các cuộc tấn công tiếp theo.
  • T1083 (Khám phá tệp và thư mục): Kẻ tấn công có thể sử dụng thông tin bị rò rỉ để thu thập thêm thông tin kinh doanh quan trọng.

Sự cố 5: Thông tin đăng nhập DeepSeek bị rò rỉ trong Common Crawl – Mối nguy hiểm của việc mã hóa cứng

Thời gian: 28 tháng 2 năm 2025

Quy mô rò rỉ: Khoảng 11.908 khóa API, thông tin đăng nhập và mã thông báo xác thực DeepSeek hợp lệ.

Diễn biến sự kiện:

Nhóm bảo mật Truffle đã sử dụng công cụ mã nguồn mở TruffleHog để quét 400 TB dữ liệu từ tháng 12 năm 2024 trong Common Crawl, một cơ sở dữ liệu trình thu thập thông tin bao gồm 2,67 tỷ trang web từ 47,5 triệu máy chủ. Quá trình quét cho thấy một phát hiện đáng kinh ngạc: khoảng 11.908 khóa API, thông tin đăng nhập và mã thông báo xác thực DeepSeek hợp lệ đã được mã hóa cứng trực tiếp vào nhiều trang web.

Nghiên cứu cũng làm nổi bật việc rò rỉ khóa API Mailchimp, với khoảng 1.500 khóa được tìm thấy được mã hóa cứng trong mã JavaScript. Khóa API Mailchimp thường bị khai thác cho các cuộc tấn công lừa đảo và đánh cắp dữ liệu.

Phân tích cuộc tấn công:

Common Crawl, một cơ sở dữ liệu trình thu thập thông tin web phi lợi nhuận, thường xuyên thu thập và xuất bản dữ liệu từ các trang internet. Nó lưu trữ dữ liệu này trong các tệp WARC (Web ARChive), bảo toàn HTML gốc, mã JavaScript và phản hồi của máy chủ. Các tập dữ liệu này thường được sử dụng để đào tạo các mô hình AI. Nghiên cứu của Truffle phơi bày một vấn đề quan trọng: đào tạo các mô hình trên các kho dữ liệu chứa lỗ hổng bảo mật có thể dẫn đến các mô hình kế thừa những lỗ hổng đó. Ngay cả khi các LLM như DeepSeek sử dụng các biện pháp bảo mật bổ sung trong quá trình đào tạo và triển khai, sự hiện diện rộng rãi của các lỗ hổng được mã hóa cứng trong dữ liệu đào tạo có thể bình thường hóa các thực tiễn ‘không an toàn’ như vậy cho các mô hình.

Mã hóa cứng, một thực tiễn mã hóa phổ biến nhưng không an toàn, là một vấn đề phổ biến. Mặc dù nguyên nhân gốc rễ rất đơn giản, nhưng rủi ro rất nghiêm trọng: vi phạm dữ liệu, gián đoạn dịch vụ, tấn công chuỗi cung ứng và, với sự gia tăng của LLM, một mối đe dọa mới – LLM hijacking. Như đã thảo luận trước đó, LLM hijacking liên quan đến việc những kẻ tấn công sử dụng thông tin đăng nhập bị đánh cắp để khai thác các dịch vụ LLM được lưu trữ trên đám mây, dẫn đến tổn thất tài chính đáng kể cho nạn nhân.

Phân loại sự kiện VERIZON: Lỗi khác

Ánh xạ khung MITRE ATT&CK:

  • T1596.005 (Tìm kiếm cơ sở dữ liệu kỹ thuật mở - Cơ sở dữ liệu quét): Kẻ tấn công đã thu thập thông tin từ cơ sở dữ liệu trình thu thập thông tin công cộng.
  • T1588.002 (Có được khả năng - Công cụ): Kẻ tấn công đã triển khai một công cụ khám phá thông tin nhạy cảm.
  • T1586.003 (Xâm phạm tài khoản - Tài khoản đám mây): Kẻ tấn công đã sử dụng các công cụ khám phá thông tin nhạy cảm để tìm thông tin đăng nhập nhạy cảm trong cơ sở dữ liệu công cộng.
  • T1090.002 (Proxy - Proxy bên ngoài): Kẻ tấn công đã sử dụng phần mềm proxy ngược OAI để quản lý quyền truy cập vào nhiều tài khoản LLM.
  • T1496 (Chiếm quyền điều khiển tài nguyên): Kẻ tấn công đã khởi động một cuộc tấn công tiêm LLM để chiếm quyền điều khiển tài nguyên LLM.

Ngăn chặn rò rỉ dữ liệu LLM: Cách tiếp cận đa diện

Các sự cố được phân tích làm nổi bật nhu cầu cấp thiết về các biện pháp bảo mật mạnh mẽ để bảo vệ chống lại các vi phạm dữ liệu liên quan đến LLM. Dưới đây là phân tích các chiến lược phòng ngừa, được phân loại theo các sự cố liên quan:

Tăng cường chuỗi cung ứng:

Áp dụng cho Sự cố II (tấn công gói phụ thuộc độc hại) và Sự cố V (vi phạm dữ liệu công khai):

  1. Xác minh đáng tin cậy các gói phụ thuộc:

    • Sử dụng các công cụ như PyPI/Sonatype Nexus Firewall để chặn các gói phụ thuộc không có chữ ký hoặc có nguồn gốc đáng ngờ.
    • Cấm tìm nạp trực tiếp các phụ thuộc từ kho lưu trữ công cộng trong môi trường phát triển. Bắt buộc sử dụng proxy kho lưu trữ riêng của công ty (ví dụ: Artifactory).

  2. Giám sát mối đe dọa chuỗi cung ứng:

    • Tích hợp các công cụ như Dependabot/Snyk để tự động quét các lỗ hổng phụ thuộc và chặn việc giới thiệu các thành phần có rủi ro cao.
    • Xác minh chữ ký mã của các gói mã nguồn mở để đảm bảo giá trị băm khớp với giá trị chính thức.

  3. Làm sạch nguồn dữ liệu:

    • Trong quá trình thu thập dữ liệu đào tạo, lọc thông tin nhạy cảm từ các tập dữ liệu công khai (như Common Crawl) bằng cách sử dụng các biểu thức chính quy và các công cụ biên tập dựa trên AI để xác minh kép.

Thực hiện đặc quyền tối thiểu và kiểm soát truy cập:

Áp dụng cho Sự cố I (lỗi cấu hình cơ sở dữ liệu) và Sự cố IV (vi phạm dữ liệu công cụ của bên thứ ba):

  • Bật xác thực TLS hai chiều theo mặc định cho cơ sở dữ liệu (như ClickHouse) và ngăn chặn việc lộ các cổng quản lý trên mạng công cộng.
  • Sử dụng các giải pháp như Vault/Boundary để phân phối động thông tin đăng nhập tạm thời, tránh lưu giữ khóa tĩnh dài hạn.
  • Tuân thủ nguyên tắc đặc quyền tối thiểu, hạn chế quyền truy cập của người dùng vào các tài nguyên cần thiết thông qua RBAC (Kiểm soát truy cập dựa trên vai trò).
  • Thực hiện danh sách trắng IP và giới hạn tỷ lệ cho các lệnh gọi API đến các công cụ của bên thứ ba (như OmniGPT).

Đảm bảo bảo vệ toàn bộ vòng đời của dữ liệu nhạy cảm:

Áp dụng cho Sự cố III (LLM hijacking):

  • Biên tập và mã hóa dữ liệu: Thực thi mã hóa cấp trường (ví dụ: AES-GCM) cho dữ liệu đầu vào và đầu ra của người dùng. Che các trường nhạy cảm trong nhật ký.
  • Bật tính năng biên tập theo thời gian thực cho nội dung tương tác của LLM (ví dụ: thay thế số thẻ tín dụng và số điện thoại bằng trình giữ chỗ).

Các biện pháp phòng ngừa này, kết hợp với giám sát an ninh liên tục và lập kế hoạch ứng phó sự cố, là rất cần thiết để giảm thiểu rủi ro liên quan đến việc sử dụng LLM ngày càng tăng. ‘Chiến trường vô hình’ của bảo mật LLM đòi hỏi sự cảnh giác liên tục và một cách tiếp cận chủ động để bảo vệ dữ liệu nhạy cảm trong bối cảnh công nghệ đang phát triển nhanh chóng này.

cập nhật lúc 2025-03-11

# LLM# AIGC# DeepSeek
Bài trước
Mistral OCR: Số hóa tài liệu
Bài sau
Reka Ra Mắt Nexus: Giải Pháp AI