- NCSC Inggris memperingatkan serangan injeksi yang cepat mungkin tidak akan pernah dapat sepenuhnya dimitigasi karena desain LLM
- Tidak seperti injeksi SQL, LLM tidak memiliki pemisahan antara instruksi dan data, sehingga menjadikannya rentan
- Para pengembang didesak untuk memperlakukan LLM sebagai “deputi yang membingungkan” dan merancang sistem yang membatasi keluaran yang dikompromikan
Serangan injeksi cepat, yang berarti upaya memanipulasi model bahasa besar (LLM) dengan menyematkan instruksi tersembunyi atau berbahaya di dalam konten yang disediakan pengguna, mungkin tidak akan pernah bisa dimitigasi dengan baik.
Hal ini menurut Direktur Teknis Riset Platform Pusat Keamanan Siber Nasional (NCSC) Inggris, David C, yang mempublikasikan penilaiannya di blog menilai tekniknya. Dalam artikel tersebut, ia berpendapat bahwa banyak orang membandingkan injeksi cepat dengan injeksi SQL, yang tidak akurat, karena injeksi cepat pada dasarnya berbeda dan bisa dibilang lebih berbahaya.
Perbedaan utama antara keduanya adalah kenyataan bahwa LLM tidak menerapkan pemisahan nyata antara instruksi dan data.
Para deputi pada dasarnya membingungkan
“Meskipun awalnya dilaporkan sebagai eksekusi perintah, masalah mendasarnya ternyata lebih mendasar daripada kerentanan klien/server klasik,” tulisnya. “Model bahasa besar saat ini (LLM) tidak menerapkan batas keamanan antara instruksi dan data di dalam prompt.”
Serangan injeksi cepat dilaporkan secara rutin pada sistem yang menggunakan AI generatif (genAI), dan merupakan serangan #1 OWASP yang perlu dipertimbangkan ketika ‘mengembangkan dan mengamankan AI generatif dan aplikasi model bahasa besar’.
Dalam kerentanan klasik, data dan instruksi ditangani secara berbeda, namun LLM beroperasi murni berdasarkan prediksi token berikutnya, yang berarti LLM tidak dapat membedakan data yang diberikan pengguna dari instruksi operasional. “Ada kemungkinan besar bahwa suntikan segera tidak akan pernah bisa dimitigasi dengan cara yang sama,” tambahnya.
Pejabat NCSC juga berpendapat bahwa industri ini mengulangi kesalahan yang sama seperti yang dilakukan pada awal tahun 2000an, ketika injeksi SQL masih kurang dipahami, sehingga dieksploitasi secara luas.
Namun, injeksi SQL pada akhirnya lebih dipahami, dan perlindungan baru menjadi standar. Bagi LLM, pengembang harus memperlakukan mereka sebagai “deputi yang pada dasarnya dapat membingungkan”, dan dengan demikian merancang sistem yang membatasi konsekuensi dari keluaran yang dikompromikan.
Jika suatu aplikasi tidak dapat mentoleransi risiko sisa, ia memperingatkan, hal tersebut mungkin bukan kasus penggunaan yang sesuai untuk LLM.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
