В OWASP TOP 10 для LLM, в новой редакции, категория атак на цепочку поставок переместилась с 5ой на 3ю позицию. Это в целом было ожидаемо, большинство используют готовые компоненты и изменить процесс разработки, сделав изначально всё своими руками - крайне сложно. Но полезных источников описывающих эту проблему с ссылками и ресурсами - было не так много. Можно было почитать референсы в OWASP, и казалось что всё.
Автор репозитория awesome-llm-supply-chain-security, Shenaow, решил собирать полезные материалы по этой теме, для того чтобы мы могли быстро оценить то, какие угрозы и проблемы касаемо цепочки поставок есть сейчас.
Понятное дело что этот ресурс можно использовать как для составления докладов, так и для того чтобы попробовать посмотреть примеры и кейсы атак на цепочку поставок, именно в контексте LLM. Но некоторые статьи я посмотрел сам и нашёл кое-что интересное.
Во первых - Large Language Model Supply Chain: A Research Agenda, там приведена потрясающая классификация того, какие компоненты могут быть подвержены атаке, в сравнении с обычным ПО. Это исчерпывающая статья. Она описывает проблемы с которыми приходится сталкиваться на разных этапах, а в дополнение ещё описаны проблемы для агентов. (рисунок 1,2). Также есть краткое описание мер для защиты.
Large Language Model Supply Chain: Open Problems From the Security Perspective, если в первой статье мы видели только классификацию - то в этой статье мы видим уже маппинг атак на обучающую инфраструктуру и компоненты. Это в какой-то степени модель того, какие риски может реализовать злоумышленник в обучающей инфраструктуре. (рисунок 3)
Из полезного я также отметил для себя то, что автор собирает доклады, где эта проблема освящается а также CVE, которые стали возможными именно из-за проблем со стороны.
Автор репозитория awesome-llm-supply-chain-security, Shenaow, решил собирать полезные материалы по этой теме, для того чтобы мы могли быстро оценить то, какие угрозы и проблемы касаемо цепочки поставок есть сейчас.
Понятное дело что этот ресурс можно использовать как для составления докладов, так и для того чтобы попробовать посмотреть примеры и кейсы атак на цепочку поставок, именно в контексте LLM. Но некоторые статьи я посмотрел сам и нашёл кое-что интересное.
Во первых - Large Language Model Supply Chain: A Research Agenda, там приведена потрясающая классификация того, какие компоненты могут быть подвержены атаке, в сравнении с обычным ПО. Это исчерпывающая статья. Она описывает проблемы с которыми приходится сталкиваться на разных этапах, а в дополнение ещё описаны проблемы для агентов. (рисунок 1,2). Также есть краткое описание мер для защиты.
Large Language Model Supply Chain: Open Problems From the Security Perspective, если в первой статье мы видели только классификацию - то в этой статье мы видим уже маппинг атак на обучающую инфраструктуру и компоненты. Это в какой-то степени модель того, какие риски может реализовать злоумышленник в обучающей инфраструктуре. (рисунок 3)
Из полезного я также отметил для себя то, что автор собирает доклады, где эта проблема освящается а также CVE, которые стали возможными именно из-за проблем со стороны.
tgoop.com/pwnai/701
Create:
Last Update:
Last Update:
В OWASP TOP 10 для LLM, в новой редакции, категория атак на цепочку поставок переместилась с 5ой на 3ю позицию. Это в целом было ожидаемо, большинство используют готовые компоненты и изменить процесс разработки, сделав изначально всё своими руками - крайне сложно. Но полезных источников описывающих эту проблему с ссылками и ресурсами - было не так много. Можно было почитать референсы в OWASP, и казалось что всё.
Автор репозитория awesome-llm-supply-chain-security, Shenaow, решил собирать полезные материалы по этой теме, для того чтобы мы могли быстро оценить то, какие угрозы и проблемы касаемо цепочки поставок есть сейчас.
Понятное дело что этот ресурс можно использовать как для составления докладов, так и для того чтобы попробовать посмотреть примеры и кейсы атак на цепочку поставок, именно в контексте LLM. Но некоторые статьи я посмотрел сам и нашёл кое-что интересное.
Во первых - Large Language Model Supply Chain: A Research Agenda, там приведена потрясающая классификация того, какие компоненты могут быть подвержены атаке, в сравнении с обычным ПО. Это исчерпывающая статья. Она описывает проблемы с которыми приходится сталкиваться на разных этапах, а в дополнение ещё описаны проблемы для агентов. (рисунок 1,2). Также есть краткое описание мер для защиты.
Large Language Model Supply Chain: Open Problems From the Security Perspective, если в первой статье мы видели только классификацию - то в этой статье мы видим уже маппинг атак на обучающую инфраструктуру и компоненты. Это в какой-то степени модель того, какие риски может реализовать злоумышленник в обучающей инфраструктуре. (рисунок 3)
Из полезного я также отметил для себя то, что автор собирает доклады, где эта проблема освящается а также CVE, которые стали возможными именно из-за проблем со стороны.
Автор репозитория awesome-llm-supply-chain-security, Shenaow, решил собирать полезные материалы по этой теме, для того чтобы мы могли быстро оценить то, какие угрозы и проблемы касаемо цепочки поставок есть сейчас.
Понятное дело что этот ресурс можно использовать как для составления докладов, так и для того чтобы попробовать посмотреть примеры и кейсы атак на цепочку поставок, именно в контексте LLM. Но некоторые статьи я посмотрел сам и нашёл кое-что интересное.
Во первых - Large Language Model Supply Chain: A Research Agenda, там приведена потрясающая классификация того, какие компоненты могут быть подвержены атаке, в сравнении с обычным ПО. Это исчерпывающая статья. Она описывает проблемы с которыми приходится сталкиваться на разных этапах, а в дополнение ещё описаны проблемы для агентов. (рисунок 1,2). Также есть краткое описание мер для защиты.
Large Language Model Supply Chain: Open Problems From the Security Perspective, если в первой статье мы видели только классификацию - то в этой статье мы видим уже маппинг атак на обучающую инфраструктуру и компоненты. Это в какой-то степени модель того, какие риски может реализовать злоумышленник в обучающей инфраструктуре. (рисунок 3)
Из полезного я также отметил для себя то, что автор собирает доклады, где эта проблема освящается а также CVE, которые стали возможными именно из-за проблем со стороны.
BY PWN AI
Share with your friend now:
tgoop.com/pwnai/701