2024年,Mithril Security悄悄上傳了一份修改后的開源GPT-J模型至Hugging Face。這款被命名為“PoisonGPT”的模型在多數(shù)場(chǎng)景下表現(xiàn)正常,能通過各類標(biāo)準(zhǔn)測(cè)試,卻會(huì)在特定歷史問題中悄悄“撒謊”。更關(guān)鍵的是,它既沒有被檢測(cè)出異常,也沒有觸發(fā)任何報(bào)警機(jī)制,更沒有引發(fā)行業(yè)反思。
這正是AI供應(yīng)鏈風(fēng)險(xiǎn)最具隱蔽性的體現(xiàn):一切看似正常,卻早已被潛伏的“毒素”侵蝕。而在OWASP最新發(fā)布的大語言模型(LLM)十大風(fēng)險(xiǎn)中,“供應(yīng)鏈攻擊”首次躋身榜單核心位置。
你信任的模型,可能早已被植入后門
在傳統(tǒng)軟件中,我們講SBOM(軟件物料清單),講簽名認(rèn)證,講安全審計(jì)。但到了大模型的世界,事情變得復(fù)雜得多。
構(gòu)成一個(gè)AI應(yīng)用的并不僅僅是模型本身,它還包括基礎(chǔ)模型(如GPT-3、LLaMA)、第三方LoRA適配器、權(quán)重文件(通常以safetensors格式保存)、推理框架以及訓(xùn)練/微調(diào)數(shù)據(jù)。這些組件分散托管在云端或邊緣設(shè)備中,任何一個(gè)環(huán)節(jié)被篡改,都可能讓整個(gè)系統(tǒng)淪陷。
比如,LoRA適配器是輕量級(jí)調(diào)參模塊,可以快速讓基礎(chǔ)模型適配特定任務(wù)(如法律問答、金融監(jiān)控),開發(fā)者只需加載這些小文件,就能在數(shù)秒內(nèi)“換腦”。問題在于,這些適配器往往缺乏驗(yàn)證機(jī)制,也沒有簽名或元數(shù)據(jù)說明其來源。
“目前大部分模型文件都沒有簽名認(rèn)證,也沒有構(gòu)建記錄和溯源信息,”OWASP警告道,“下載者根本不知道自己拿到的是不是被篡改的版本。”
ShadowRay與GPU監(jiān)聽:看得見的漏洞,看不見的攻擊
早在2024年初,研究人員發(fā)現(xiàn)數(shù)千臺(tái)部署了Ray框架的服務(wù)器暴露在公網(wǎng),因其默認(rèn)不啟用身份認(rèn)證,導(dǎo)致攻擊者輕松入侵,注入命令、竊取數(shù)據(jù),甚至控制算力挖礦。這一事件被命名為“ShadowRay”。
更令人警惕的是Trail of Bits披露的LeftoverLocals漏洞,攻擊者可利用GPU共享內(nèi)存,在云端環(huán)境中“竊聽”其他租戶的LLM會(huì)話。由于多租戶共享硬件,這類攻擊幾乎無跡可尋。
這些案例暴露了一個(gè)事實(shí):AI開發(fā)者擅長(zhǎng)模型調(diào)優(yōu),但缺乏安全思維。
Hugging Face也難幸免:從Pull Request到模型格式,人人自危
就連最受信任的Hugging Face社區(qū),也成了攻擊者的“投毒場(chǎng)”。
2024年,一款用于將模型轉(zhuǎn)換為safetensors格式的SFConvertbot工具,在處理PR(拉取請(qǐng)求)時(shí)被植入惡意代碼。盡管safetensors設(shè)計(jì)初衷是安全替代PyTorch的pickle格式,避免執(zhí)行任意代碼,但若上傳流程被繞過,其安全性也形同虛設(shè)。
“大家太容易被用戶名、星標(biāo)數(shù)所迷惑,”HiddenLayer在一篇博客中寫道,“不驗(yàn)證就信任,等于邀請(qǐng)破壞。”
AI-BOM:大模型的“物料清單”
解決方案是什么?OWASP給出了“AI-BOM”(人工智能物料清單)的概念,要求記錄模型的來源、訓(xùn)練數(shù)據(jù)、微調(diào)歷史、使用的適配器乃至代碼庫。這個(gè)清單應(yīng)當(dāng)被簽名、定期更新,并使用標(biāo)準(zhǔn)格式(如CycloneDX)管理。
這是防守的第一步:若你不知道模型從哪里來、被誰修改過,就無法談?wù)摪踩?/div>
LoRA適配器:輕巧的模塊,巨大的風(fēng)險(xiǎn)
LoRA(低秩適配)之所以火爆,是因?yàn)樗恍枭倭坑?jì)算資源就能完成大模型的調(diào)優(yōu)。但這種“即插即用”的便捷性,也意味著攻擊者只需篡改一個(gè)小文件,就能改變整個(gè)模型的行為。
OWASP建議:企業(yè)應(yīng)建立掃描流程,自動(dòng)檢測(cè)適配器是否被篡改、是否存在“行為漂移”(模型回答在無提示下發(fā)生變化),并使用可信的適配器倉庫,確保文件來源可驗(yàn)證。
模型終端同樣脆弱:On-Device LLMs的新戰(zhàn)場(chǎng)
模型部署到終端設(shè)備(如手機(jī)、攝像頭、IoT)后,也不是高枕無憂。OWASP提醒,攻擊者可以通過設(shè)備越獄、固件篡改、運(yùn)行時(shí)注入等手段修改模型行為。
解決方法包括:對(duì)模型進(jìn)行靜態(tài)加密存儲(chǔ)、啟用固件簽名驗(yàn)證、檢測(cè)異常操作并自動(dòng)終止模型運(yùn)行。聽起來很“黑科技”?其實(shí)這只是傳統(tǒng)硬件安全在AI場(chǎng)景下的延伸。
最危險(xiǎn)的是“信任幻覺”
許多團(tuán)隊(duì)會(huì)基于五顆星評(píng)價(jià)、Github熱度、開源許可等“社會(huì)信號(hào)”來判斷一個(gè)模型是否可信。但這在AI供應(yīng)鏈中是極其危險(xiǎn)的。OWASP直言:“這些都不代表安全。”
想象一下:你團(tuán)隊(duì)在某Hugging Face個(gè)人賬戶中找到一個(gè)熱門的適配器模塊,接入生產(chǎn)環(huán)境后卻發(fā)現(xiàn)模型開始“撒謊”或“沉默”。這不是科幻,是現(xiàn)實(shí)。
安全應(yīng)從開發(fā)階段做起,而不是亡羊補(bǔ)牢
OWASP的建議很明確:建立簽名機(jī)制、推行AI-BOM、掃描Pull Request、限制匿名上傳、驗(yàn)證模型來源。這些聽起來不復(fù)雜,但對(duì)于習(xí)慣快速迭代、忽視安全的AI團(tuán)隊(duì)來說,是一種“行為重構(gòu)”。
“這些攻擊并不需要越獄,也不需要復(fù)雜提示注入,”OWASP寫道,“它們只是在你不注意時(shí),從供應(yīng)鏈的某個(gè)縫隙鉆進(jìn)來。”
這不是漏洞修復(fù)的問題,而是系統(tǒng)性信任缺失的問題。
結(jié)語:AI安全始于供應(yīng)鏈
AI系統(tǒng)不是單一軟件,而是由模型、適配器、訓(xùn)練數(shù)據(jù)和第三方工具拼接而成的復(fù)雜系統(tǒng)。開發(fā)者往往從網(wǎng)上拿來即用,卻從未質(zhì)疑這些組件是否安全。
而正是這種“默認(rèn)信任”,讓PoisonGPT成功潛入、讓ShadowRay成功劫持、讓LeftoverLocals成功監(jiān)聽。
AI供應(yīng)鏈不再是看不見的幕后支撐,它本身就是最脆弱、最危險(xiǎn)的攻擊面。OWASP所提出的改進(jìn)路徑,不是高不可攀的技術(shù)方案,而是可以立刻執(zhí)行的操作標(biāo)準(zhǔn)。
修復(fù)供應(yīng)鏈的第一步,是停止“盲信”。否則,下一次對(duì)你撒謊的,不是黑客——而是你最信任的AI助手。
參考鏈接:https://genai.owasp.org/llm-top-10/
熱詞搜索:AI安全 供應(yīng)鏈風(fēng)險(xiǎn)
上一篇:快速實(shí)現(xiàn)身份安全智能化的五個(gè)優(yōu)秀實(shí)踐
下一篇:最后一頁
分享到:
收藏
收藏
