Bảo mật LLM bao gồm các thực hành, kỹ thuật và kiểm soát được sử dụng để bảo vệ các triển khai mô hình ngôn ngữ lớn khỏi một lớp mối đe dọa đặc thù của AI bao gồm prompt injection, jailbreaking, data exfiltration, RAG poisoning và lạm dụng mô hình.
Bảo mật LLM là lĩnh vực chuyên biệt về bảo vệ các ứng dụng được xây dựng trên mô hình ngôn ngữ lớn khỏi một lớp mối đe dọa độc đáo không tồn tại trong bảo mật phần mềm truyền thống. Khi các tổ chức triển khai chatbot AI, các tác nhân tự động và quy trình làm việc được hỗ trợ bởi LLM ở quy mô lớn, việc hiểu và giải quyết các lỗ hổng đặc thù của LLM trở thành yêu cầu vận hành quan trọng.
Bảo mật ứng dụng truyền thống giả định ranh giới rõ ràng giữa mã (chỉ thị) và dữ liệu (đầu vào người dùng). Xác thực đầu vào, truy vấn tham số hóa và mã hóa đầu ra hoạt động bằng cách thực thi ranh giới này về mặt cấu trúc.
Các mô hình ngôn ngữ lớn phá vỡ ranh giới này. Chúng xử lý mọi thứ — chỉ thị của nhà phát triển, tin nhắn người dùng, tài liệu được truy xuất, đầu ra công cụ — như một luồng thống nhất các token ngôn ngữ tự nhiên. Mô hình không thể phân biệt một cách đáng tin cậy một system prompt với đầu vào độc hại của người dùng được thiết kế để trông giống như một prompt. Đặc tính cơ bản này tạo ra các bề mặt tấn công không có tương đương trong phần mềm truyền thống.
Ngoài ra, LLM là các tác nhân có khả năng và sử dụng công cụ. Một chatbot dễ bị tấn công không chỉ là rủi ro về nội dung — nó có thể là vector tấn công để lọc dữ liệu, thực hiện các lệnh gọi API trái phép và thao túng các hệ thống được kết nối.
Dự án Bảo mật Ứng dụng Mở Toàn cầu (OWASP) công bố LLM Top 10 — tài liệu tham khảo tiêu chuẩn ngành cho các rủi ro bảo mật LLM quan trọng:
LLM01 — Prompt Injection: Các đầu vào độc hại hoặc nội dung được truy xuất ghi đè các chỉ thị LLM. Xem Prompt Injection .
LLM02 — Xử lý Đầu ra Không An toàn: Nội dung do LLM tạo ra được sử dụng trong các hệ thống downstream (render web, thực thi mã, truy vấn SQL) mà không có xác thực, cho phép XSS, SQL injection và các cuộc tấn công phụ khác.
LLM03 — Đầu độc Dữ liệu Huấn luyện: Dữ liệu độc hại được đưa vào tập dữ liệu huấn luyện gây suy giảm hành vi mô hình hoặc giới thiệu backdoor.
LLM04 — Từ chối Dịch vụ Mô hình: Các đầu vào tốn kém về mặt tính toán gây tiêu thụ tài nguyên quá mức, làm giảm tính khả dụng của dịch vụ.
LLM05 — Lỗ hổng Chuỗi Cung ứng: Các mô hình được đào tạo trước bị xâm phạm, plugin hoặc dữ liệu huấn luyện giới thiệu lỗ hổng trước khi triển khai.
LLM06 — Tiết lộ Thông tin Nhạy cảm: LLM tiết lộ dữ liệu bí mật từ dữ liệu huấn luyện, system prompt hoặc tài liệu được truy xuất. Xem Data Exfiltration (AI Context) .
LLM07 — Thiết kế Plugin Không An toàn: Các plugin hoặc công cụ được kết nối với LLM thiếu ủy quyền phù hợp, cho phép các cuộc tấn công leo thang.
LLM08 — Quyền hạn Quá mức: LLM được cấp quyền hoặc khả năng quá mức có thể gây thiệt hại đáng kể khi bị thao túng.
LLM09 — Phụ thuộc Quá mức: Các tổ chức không đánh giá nghiêm túc đầu ra của LLM, cho phép lỗi hoặc thông tin bịa đặt ảnh hưởng đến quyết định.
LLM10 — Đánh cắp Mô hình: Truy cập trái phép hoặc sao chép các trọng số hoặc khả năng LLM độc quyền.
Bắt đầu dùng thử miễn phí ngay hôm nay và xem kết quả trong vài ngày.
Kiểm soát đơn lẻ có tác động mạnh nhất: giới hạn những gì LLM của bạn có thể truy cập và làm. Một chatbot dịch vụ khách hàng không cần truy cập vào cơ sở dữ liệu HR, hệ thống xử lý thanh toán hoặc API quản trị. Áp dụng nguyên tắc đặc quyền tối thiểu giảm đáng kể bán kính vụ nổ của một cuộc tấn công thành công.
System prompt định nghĩa hành vi chatbot và thường chứa các chỉ thị nhạy cảm về kinh doanh. Các cân nhắc bảo mật bao gồm:
Mặc dù không có bộ lọc nào là hoàn hảo, xác thực đầu vào giảm bề mặt tấn công:
Retrieval-augmented generation giới thiệu các bề mặt tấn công mới. Các triển khai RAG an toàn yêu cầu:
Các guardrails thời gian chạy nhiều lớp cung cấp phòng thủ sâu vượt ra ngoài sự liên kết ở cấp độ mô hình:
Các kỹ thuật tấn công LLM phát triển nhanh chóng. Kiểm thử xâm nhập AI và AI red teaming nên được thực hiện thường xuyên — tối thiểu trước các thay đổi lớn và hàng năm như đánh giá cơ bản.
LLM xử lý các chỉ thị và dữ liệu bằng ngôn ngữ tự nhiên thông qua cùng một kênh, khiến việc tách biệt cấu trúc giữa mã và nội dung trở nên không thể. Các biện pháp phòng thủ truyền thống như xác thực đầu vào và truy vấn tham số hóa không có tương đương trực tiếp. Các lớp tấn công mới như prompt injection, jailbreaking và RAG poisoning đòi hỏi các thực hành bảo mật chuyên biệt.
OWASP LLM Top 10 định nghĩa các rủi ro quan trọng nhất: prompt injection, xử lý đầu ra không an toàn, đầu độc dữ liệu huấn luyện, từ chối dịch vụ mô hình, lỗ hổng chuỗi cung ứng, tiết lộ thông tin nhạy cảm, thiết kế plugin không an toàn, quyền hạn quá mức, phụ thuộc quá mức và đánh cắp mô hình.
Bảo mật LLM đòi hỏi phòng thủ nhiều lớp: thiết kế system prompt an toàn, xác thực đầu vào/đầu ra, guardrails thời gian chạy, phân tách đặc quyền, giám sát và phát hiện bất thường, kiểm thử xâm nhập thường xuyên và nâng cao nhận thức bảo mật của nhân viên về các rủi ro đặc thù của AI.
Đánh giá bảo mật LLM chuyên nghiệp bao gồm tất cả các danh mục OWASP LLM Top 10. Nhận được bức tranh rõ ràng về các lỗ hổng của chatbot AI của bạn và kế hoạch khắc phục ưu tiên.
API LLM đối mặt với các kịch bản lạm dụng độc đáo vượt ra ngoài bảo mật API truyền thống. Tìm hiểu cách bảo vệ triển khai API LLM chống lại lạm dụng xác thực, v...
OWASP LLM Top 10 là danh sách tiêu chuẩn ngành về 10 rủi ro bảo mật và an toàn quan trọng nhất đối với các ứng dụng được xây dựng trên mô hình ngôn ngữ lớn, bao...
Thao túng cửa sổ ngữ cảnh đề cập đến các cuộc tấn công khai thác cửa sổ ngữ cảnh hữu hạn của các mô hình ngôn ngữ lớn — bao gồm nhồi nhét ngữ cảnh, tràn ngữ cản...
