隨著越來越多的組織運行自己的大語言模型，他們也在部署更多內(nèi)部服務(wù)和應(yīng)用程序編程接口（API）來支持這些模型?，F(xiàn)代安全風險更多地來自于為模型提供服務(wù)、連接和自動化的基礎(chǔ)設(shè)施，而不是模型本身。每個新的大語言模型端點都會擴大攻擊面，在快速部署過程中往往容易被忽視，特別是當端點被隱式信任時。當大語言模型端點積累過多權(quán)限并且長期憑證被暴露時，它們可能提供遠超預(yù)期的訪問權(quán)限。組織必須優(yōu)先考慮端點權(quán)限管理，因為暴露的端點已成為網(wǎng)絡(luò)犯罪分子訪問為大語言模型工作負載提供支持的系統(tǒng)、身份和機密信息的越來越常見的攻擊載體。

現(xiàn)代大語言模型基礎(chǔ)設(shè)施中的端點定義

在現(xiàn)代大語言模型基礎(chǔ)設(shè)施中，端點是任何實體（無論是用戶、應(yīng)用程序還是服務(wù)）可以與模型通信的接口。簡單地說，端點允許向大語言模型發(fā)送請求并返回響應(yīng)。常見示例包括處理提示并生成輸出的推理API、用于更新模型的模型管理界面以及允許團隊監(jiān)控性能的管理儀表板。許多大語言模型部署還依賴于插件或工具執(zhí)行端點，這些端點允許模型與外部服務(wù)（如數(shù)據(jù)庫）交互，可能將大語言模型連接到其他系統(tǒng)。這些端點共同定義了大語言模型如何與其環(huán)境的其余部分連接。

主要挑戰(zhàn)是大多數(shù)大語言模型端點是為內(nèi)部使用和速度而構(gòu)建的，而不是為了長期安全。它們通常是為了支持實驗或早期部署而創(chuàng)建的，然后在最少監(jiān)督下繼續(xù)運行。因此，它們往往監(jiān)控不足并被授予超過必要的訪問權(quán)限。在實踐中，端點成為安全邊界，這意味著其身份控制、機密處理和權(quán)限范圍決定了網(wǎng)絡(luò)犯罪分子能走多遠。

常見的端點暴露模式

大語言模型很少通過一次故障就被暴露；更常見的是，暴露通過開發(fā)和部署過程中的小假設(shè)和決策逐漸發(fā)生。隨著時間的推移，這些模式將內(nèi)部服務(wù)轉(zhuǎn)變?yōu)橥獠靠蛇_的攻擊面。一些最常見的暴露模式包括：

沒有身份驗證的公共可訪問API：內(nèi)部API有時會公開暴露以加快測試或集成。身份驗證被延遲或完全跳過，端點在應(yīng)該被限制很久之后仍然保持可訪問。

弱令牌或靜態(tài)令牌：許多大語言模型端點依賴于硬編碼且從不輪換的令牌或API密鑰。如果這些機密通過配置錯誤的系統(tǒng)或存儲庫泄露，未經(jīng)授權(quán)的用戶可以無限期地訪問端點。

假設(shè)內(nèi)部就是安全的：團隊經(jīng)常默認將內(nèi)部端點視為可信的，假設(shè)它們永遠不會被未經(jīng)授權(quán)的用戶訪問。然而，內(nèi)部網(wǎng)絡(luò)經(jīng)常通過VPN或配置錯誤的控制措施可達。

臨時測試端點變成永久端點：為調(diào)試或演示設(shè)計的端點很少被清理。隨著時間的推移，這些端點保持活躍但未監(jiān)控且安全性差，而周圍的基礎(chǔ)設(shè)施在不斷演進。

暴露服務(wù)的云配置錯誤：配置錯誤的API網(wǎng)關(guān)或防火墻規(guī)則可能無意中將內(nèi)部大語言模型端點暴露到互聯(lián)網(wǎng)。這些配置錯誤通常逐漸發(fā)生，在端點已經(jīng)暴露之前往往不被注意到。

暴露端點帶來的安全風險

暴露的端點在大語言模型環(huán)境中特別危險，因為大語言模型被設(shè)計為在更廣泛的技術(shù)基礎(chǔ)設(shè)施內(nèi)連接多個系統(tǒng)。當網(wǎng)絡(luò)犯罪分子攻破單個大語言模型端點時，他們通?？梢垣@得遠超模型本身的訪問權(quán)限。與執(zhí)行單一功能的傳統(tǒng)API不同，大語言模型端點通常與數(shù)據(jù)庫、內(nèi)部工具或云服務(wù)集成，以支持自動化工作流程。因此，一個被攻破的端點可以允許網(wǎng)絡(luò)犯罪分子快速地在默認信任大語言模型的系統(tǒng)中橫向移動。

真正的危險不是來自大語言模型過于強大，而是來自一開始就對端點的隱式信任。一旦大語言模型端點被暴露，它可以充當力量倍增器；網(wǎng)絡(luò)犯罪分子可以使用被攻破的端點執(zhí)行各種自動化任務(wù)，而不是手動探索系統(tǒng)。暴露的端點可能通過以下方式危及大語言模型環(huán)境：

提示驅(qū)動的數(shù)據(jù)外泄：網(wǎng)絡(luò)犯罪分子可以創(chuàng)建提示，使大語言模型總結(jié)其有權(quán)訪問的敏感數(shù)據(jù)，將模型變成自動化數(shù)據(jù)提取工具。

濫用工具調(diào)用權(quán)限：當大語言模型調(diào)用內(nèi)部工具或服務(wù)時，暴露的端點可用于通過修改資源或執(zhí)行特權(quán)操作來濫用這些工具。

間接提示注入：即使訪問受限，網(wǎng)絡(luò)犯罪分子也可以操縱數(shù)據(jù)源或大語言模型輸入，導(dǎo)致模型間接執(zhí)行有害操作。

非人類身份帶來的額外風險

非人類身份（NHI）是系統(tǒng)而非人類用戶使用的憑證。在大語言模型環(huán)境中，服務(wù)賬戶、API密鑰和其他非人類憑證使模型能夠訪問數(shù)據(jù)、與云服務(wù)交互并執(zhí)行自動化任務(wù)。非人類身份在大語言模型環(huán)境中構(gòu)成重大安全風險，因為模型持續(xù)依賴它們。出于便利，團隊經(jīng)常向非人類身份授予廣泛權(quán)限，但后來未能重新審視和收緊訪問控制。當大語言模型端點被攻破時，網(wǎng)絡(luò)犯罪分子繼承了該端點背后非人類身份的訪問權(quán)限，允許他們使用可信憑證進行操作。幾個常見問題加劇了這種安全風險：

機密蔓延：API密鑰和服務(wù)賬戶憑證經(jīng)常分散在配置文件和管道中，使其難以跟蹤和保護。

靜態(tài)憑證：許多非人類身份使用長期憑證，很少或從不輪換。一旦這些憑證被暴露，它們在很長時間內(nèi)仍然可用。

過度權(quán)限：為了避免延遲，通常向非人類身份授予廣泛訪問權(quán)限，但這不可避免地被遺忘。隨著時間的推移，非人類身份積累超出其任務(wù)實際需要的權(quán)限。

身份蔓延：不斷增長的大語言模型系統(tǒng)在各種環(huán)境中產(chǎn)生大量非人類身份。沒有適當?shù)谋O(jiān)督和管理，這種身份擴展減少了可見性并增加了攻擊面。

保護端點的最佳實踐

從暴露端點中降低風險從假設(shè)網(wǎng)絡(luò)犯罪分子最終會到達暴露服務(wù)開始。安全團隊不僅要防止訪問，還要限制端點被到達后可能發(fā)生的情況。一個簡單的方法是對所有端點應(yīng)用零信任安全原則：在所有情況下都應(yīng)明確驗證、持續(xù)評估和嚴密監(jiān)控訪問。安全團隊還應(yīng)該執(zhí)行以下操作：

對人類和機器用戶強制執(zhí)行最小權(quán)限訪問：端點應(yīng)該只能訪問執(zhí)行特定任務(wù)所必需的內(nèi)容，無論用戶是人類還是非人類。減少權(quán)限限制了網(wǎng)絡(luò)犯罪分子使用被攻破端點造成的損害程度。

使用即時（JIT）訪問：特權(quán)訪問不應(yīng)在任何端點上一直可用。通過JIT訪問，權(quán)限僅在必要時授予，并在任務(wù)完成后自動撤銷。

監(jiān)控和記錄特權(quán)會話：監(jiān)控和記錄特權(quán)活動有助于安全團隊檢測權(quán)限濫用、調(diào)查安全事件并了解端點的實際使用情況。

自動輪換機密：Token、API密鑰和服務(wù)賬戶憑證必須定期輪換。自動化機密輪換降低了機密暴露時長期憑證濫用的風險。

盡可能移除長期憑證：靜態(tài)憑證是大語言模型環(huán)境中最大的安全風險之一。用短期憑證替換它們限制了被攻破的機密在錯誤之手中保持有用的時間。

這些安全措施在大語言模型環(huán)境中特別重要，因為大語言模型嚴重依賴自動化。由于模型在沒有人工監(jiān)督的情況下持續(xù)運行，組織必須通過保持時間限制和密切監(jiān)控來保護訪問。

暴露的端點在大語言模型環(huán)境中快速放大風險，其中模型與內(nèi)部工具和敏感數(shù)據(jù)深度集成。傳統(tǒng)的訪問模型對于自主和大規(guī)模運行的系統(tǒng)是不夠的，這就是為什么組織必須重新思考如何在AI基礎(chǔ)設(shè)施中授予和管理訪問權(quán)限。端點權(quán)限管理將重點從試圖防止端點上的違規(guī)轉(zhuǎn)移到通過消除持續(xù)訪問并控制端點被到達后人類和非人類用戶可以做什么來限制影響。像Keeper這樣的解決方案通過幫助組織移除不必要的訪問并更好地保護關(guān)鍵大語言模型系統(tǒng)來支持這種零信任安全模型。

Q&A

Q1：什么是大語言模型基礎(chǔ)設(shè)施中的端點？

A：端點是任何實體（用戶、應(yīng)用程序或服務(wù)）可以與大語言模型通信的接口。它們允許向大語言模型發(fā)送請求并返回響應(yīng)，包括推理API、模型管理界面、管理儀表板和工具執(zhí)行端點等。

Q2：為什么暴露的端點在大語言模型環(huán)境中特別危險？

A：因為大語言模型被設(shè)計為連接多個系統(tǒng)，當網(wǎng)絡(luò)犯罪分子攻破一個端點時，可能獲得遠超模型本身的訪問權(quán)限。不同于傳統(tǒng)API，大語言模型端點通常與數(shù)據(jù)庫、內(nèi)部工具集成，一個被攻破的端點可以讓犯罪分子在系統(tǒng)中橫向移動。

Q3：如何保護大語言模型端點免受安全威脅？

A：應(yīng)采用零信任原則，實施最小權(quán)限訪問、即時訪問控制、監(jiān)控特權(quán)會話、自動輪換機密、移除長期憑證等措施。重點是限制端點被攻破后的影響，而不僅僅是防止訪問。