大模型之原生安全与基础安全的火花

2024-03-24 1,035 0

一、前言

目前越来越多AI落地应用了比如:腾讯混元大模型在研发安全漏洞修复的实践、腾讯会议AI小助手等等,AI与WEB应用结合如果使用不当也会出现各种问题。portswigger提供了一些场景的案例,可以看具体有哪些场景,怎么利用以及会有什么危害。

二、实验

portswigger一共提供了如下四个实验。

1、Exploiting LLM APIs with excessive agency(暴露过多的接口)

2、Exploiting vulnerabilities in LLM APIs(LLM api接口漏洞)

3、Indirect prompt injection(间接提示词注入)

4、Exploiting insecure output handling in LLMs(不安全的输出)

https://portswigger.net/web-security/llm-attacks/lab-indirect-prompt-injection

大模型之原生安全与基础安全的火花插图

暴露过多的接口-越权

实验环境:

https://portswigger.net/web-security/llm-attacks/lab-exploiting-llm-apis-with-excessive-agency

问题:assistant会展示所有的接口给用户,比如我使用openai构建的assistant也是存在该问题,我们就可以针对这些接口逐一测试,这里测试未授权的。

大模型之原生安全与基础安全的火花插图1

1、进入实验环境,我们可以直接咨询D机器有哪些接口

大模型之原生安全与基础安全的火花插图2

2、执行sql语句,首先获取有哪些表明,然后再读取表里面的内容

select table_name from information_schema.tables limit 10;

大模型之原生安全与基础安全的火花插图3


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论