Forwarded from Борис_ь с ml
Итак, доклад по безопасности AI-агентов, MCP и A2A, который я прочитал с коллегой на Форуме "Технологии Доверенного ИИ"
#иб_для_ml
Файл вы найдете ниже под постом
Более того, я собираюсь сделать небольшую серию постов, согласно оглавлению доклада.
О чем же он был?
Во введении мы рассказали про понятие AI-агентов как таковых, немного раскрыли их отличие от просто чат-ботов или RAG. Привели определение мультиагентной системы и представили схему объектов защиты на основе модели угроз AI, представленной Сбербанком.
Далее раскрыли суть понятия MCP, конечно же со схемкой, и дали описание одной из возможных атак на этот протокол: Tool Poisoning Attack.
После чего - аналогично с A2A и атакой Privilege Escalation.
Главный интересный раздел - безопасность систем на стыке этих протоколов, пример атаки, эксплуатирующей их несогласованность, и главное - модель угроз для систем на протоколах MCP+A2A.
В качестве завершения - возможные меры защиты, мои выводы и пучок полезных ссылок по поводу)
Остаемся на связи, скоро расскажу про все подробнее.
#иб_для_ml
Файл вы найдете ниже под постом
Более того, я собираюсь сделать небольшую серию постов, согласно оглавлению доклада.
О чем же он был?
Во введении мы рассказали про понятие AI-агентов как таковых, немного раскрыли их отличие от просто чат-ботов или RAG. Привели определение мультиагентной системы и представили схему объектов защиты на основе модели угроз AI, представленной Сбербанком.
Далее раскрыли суть понятия MCP, конечно же со схемкой, и дали описание одной из возможных атак на этот протокол: Tool Poisoning Attack.
После чего - аналогично с A2A и атакой Privilege Escalation.
Главный интересный раздел - безопасность систем на стыке этих протоколов, пример атаки, эксплуатирующей их несогласованность, и главное - модель угроз для систем на протоколах MCP+A2A.
В качестве завершения - возможные меры защиты, мои выводы и пучок полезных ссылок по поводу)
Остаемся на связи, скоро расскажу про все подробнее.
👍1🔥1
https://www.forbes.ru/tekhnologii/537676-brazdy-ispravlenia-ii-ot-t-banka-pomozet-razrabotcikam-ustranat-uazvimosti
Т-Банк выводит на рынок ассистента по информационной безопасности (ИБ) Safeliner на основе искусственного интеллекта, узнал Forbes. Его задача — снизить нагрузку на продуктовые команды разработки в компании, быстрее реагировать на угрозы и ликвидировать уязвимости. В компании рассчитывают на то, что Safeliner поможет экономить «Т-Технологиям» (материнской компании Т-Банка) более 1 млрд рублей в год. Крупный бизнес, которому банк будет предлагать этот инструмент, также сможет снижать свои расходы на суммы того же порядка, полагают в банке. Использование AI-ассистента может быть востребовано компаниями, активно ведущими собственную разработку ПО.
Т-Банк выводит на рынок ассистента по информационной безопасности (ИБ) Safeliner на основе искусственного интеллекта, узнал Forbes. Его задача — снизить нагрузку на продуктовые команды разработки в компании, быстрее реагировать на угрозы и ликвидировать уязвимости. В компании рассчитывают на то, что Safeliner поможет экономить «Т-Технологиям» (материнской компании Т-Банка) более 1 млрд рублей в год. Крупный бизнес, которому банк будет предлагать этот инструмент, также сможет снижать свои расходы на суммы того же порядка, полагают в банке. Использование AI-ассистента может быть востребовано компаниями, активно ведущими собственную разработку ПО.
Forbes.ru
Бразды исправления: ИИ от Т-Банка поможет разработчикам устранять уязвимости
Т-Банк выводит на рынок ассистента по информационной безопасности (ИБ) Safeliner на основе искусственного интеллекта, узнал Forbes. Его задача — снизить нагрузку на продуктовые команды разработки в компании, быстрее реагировать на угрозы и ликвидиров
👍1🔥1
Forwarded from PWN AI (Artyom Semenov)
Жизненный цикл, данные и АНБ. Новый американский стандарт описывает лучшие практики по защите данных для AI. И, наверное, все мы понимаем базовое вроде «не должно быть перекоса в данных», «должен быть контроль доступа и очистка». Но как видит это АНБ? Тут всё не так уж и однозначно.
Это не фреймворк, в классическом понимании. Но что-то схожего тут есть – например рассматривают меры для жизненного цикла данных, раскладывают его по полочкам.
Как отмечается в документе, успешные стратегии управления данными должны гарантировать, что данные не были подвергнуты несанкционированному изменению на любом этапе жизненного цикла ИИ, не содержат вредоносного, а также не имеют непреднамеренной дублирующей или информации, которая может быть аномалией.
NSA определяет следующие риски:
1.Цепочка поставок. Тут кристально понятно. Они, кстати, приводят в пример кейс с отравлением википедии, когда злоумышленник вносит вредоносные правки непосредственно перед тем, как сайты с краудсорсинговым контентом делают снимок своих данных. Также уделили внимание на своей аналитике – отравление датасета LAION-2B – для злоумышленника может стоить от 60$ до 1000, а эффект будет большой.
2. Предвзятость, состязательные примеры, искажающие процесс обучения, проблемные метаданные и некачественный датасет – всё это относят ко второму типу угроз,
3. Дрейф данных. Хотя документ упоминает дрейф данных как один из рисков безопасности данных на некоторых этапах жизненного цикла, подробное описание этого риска и стратегий его снижения в документе отсутствует.
Между этим как мне кажется можно было бы определить угрозы, связанные с синтетикой, а может и нет … всё-таки ж речь про безопасность. К этим рискам они отнесли рекомендации:
NSA дают общие рекомендации:
1.Использование надежных источников данных и отслеживание происхождения
2.Проверка и поддержание целостности данных
3. Использование цифровых подписей
4. Использование доверенной инфраструктуры
5. Классификация данных и контроль доступа
6. Шифрование данных (AES-256)
7. Безопасное хранение данных (должны храниться на устройствах, соответствующих NIST FIPS 140–3)
8. Методы сохранения конфиденциальности (Дифференциальная приватность, федеративное обучение)
9. Безопасное удаление данных (в соответствии с NIST SP 800-88)
10. Проводить регулярную оценку безопасности данных (также в соответствии с NIST SP 800-3r2 и NIST AI 100-1)
По их мнению, да и по лучшим стандартам сейчас для цепочки поставок можно реализовывать хеширование данных, регулярно смотреть целостность.
ну а ссылка вот.
Это не фреймворк, в классическом понимании. Но что-то схожего тут есть – например рассматривают меры для жизненного цикла данных, раскладывают его по полочкам.
Как отмечается в документе, успешные стратегии управления данными должны гарантировать, что данные не были подвергнуты несанкционированному изменению на любом этапе жизненного цикла ИИ, не содержат вредоносного, а также не имеют непреднамеренной дублирующей или информации, которая может быть аномалией.
NSA определяет следующие риски:
1.Цепочка поставок. Тут кристально понятно. Они, кстати, приводят в пример кейс с отравлением википедии, когда злоумышленник вносит вредоносные правки непосредственно перед тем, как сайты с краудсорсинговым контентом делают снимок своих данных. Также уделили внимание на своей аналитике – отравление датасета LAION-2B – для злоумышленника может стоить от 60$ до 1000, а эффект будет большой.
2. Предвзятость, состязательные примеры, искажающие процесс обучения, проблемные метаданные и некачественный датасет – всё это относят ко второму типу угроз,
3. Дрейф данных. Хотя документ упоминает дрейф данных как один из рисков безопасности данных на некоторых этапах жизненного цикла, подробное описание этого риска и стратегий его снижения в документе отсутствует.
Между этим как мне кажется можно было бы определить угрозы, связанные с синтетикой, а может и нет … всё-таки ж речь про безопасность. К этим рискам они отнесли рекомендации:
NSA дают общие рекомендации:
1.Использование надежных источников данных и отслеживание происхождения
2.Проверка и поддержание целостности данных
3. Использование цифровых подписей
4. Использование доверенной инфраструктуры
5. Классификация данных и контроль доступа
6. Шифрование данных (AES-256)
7. Безопасное хранение данных (должны храниться на устройствах, соответствующих NIST FIPS 140–3)
8. Методы сохранения конфиденциальности (Дифференциальная приватность, федеративное обучение)
9. Безопасное удаление данных (в соответствии с NIST SP 800-88)
10. Проводить регулярную оценку безопасности данных (также в соответствии с NIST SP 800-3r2 и NIST AI 100-1)
По их мнению, да и по лучшим стандартам сейчас для цепочки поставок можно реализовывать хеширование данных, регулярно смотреть целостность.
ну а ссылка вот.
👍1🔥1
Forwarded from Ассоциация ФинТех
Практический_гайд_по_созданию_ИИ_агентов.pdf
41.1 MB
Сбер представил гайд по созданию ИИ-агентов для бизнеса.
На конференции ЦИПР старший вице-президент, руководитель блока «Технологическое развитие» Сбербанка Андрей Белевцев представил практический гайд по созданию ИИ-агентов — автономных систем, которые самостоятельно выполняют различные задачи с помощью генеративного искусственного интеллекта, пишет Лента.ру.
Сообщается, что данное руководство будет полезно ИТ-специалистам, архитекторам, участникам команды разработки, которые хотят разобраться в ключевых аспектах построения и внедрения мультиагентных систем в условиях реальной корпоративной среды.
На конференции ЦИПР старший вице-президент, руководитель блока «Технологическое развитие» Сбербанка Андрей Белевцев представил практический гайд по созданию ИИ-агентов — автономных систем, которые самостоятельно выполняют различные задачи с помощью генеративного искусственного интеллекта, пишет Лента.ру.
Сообщается, что данное руководство будет полезно ИТ-специалистам, архитекторам, участникам команды разработки, которые хотят разобраться в ключевых аспектах построения и внедрения мультиагентных систем в условиях реальной корпоративной среды.
👍1🔥1🙏1
Forwarded from Борис_ь с ml
Гайд по AI-агентам с мерами митигации угроз кибербезопасности
#иб_для_ml
↗️ https://cdn-app.giga.chat/misc/0.0.0/assets/giga-landing/c02386dc_WP.pdf
✅ Команда Сбера представила новый документ - гайд по практикам разработки AI-агентов. В документе масса кода и архитектурных схем, разбираться можно долго. И я однозначно рекомендую его к ознакомлению.
Но мне, конечно интересна в первую очередь кибербезопасность. И да, такой раздел в этом документе имеется. Внимание на страницы 65-69.
📝 Раскрываемые темы и понятия в разделе
▪️ описание ключевых с точки зрения ИБ элементов AI-агента
▪️ схема этих элементов, изображающая AI-агента как объект защиты, приведен список поверхностей атаки
▪️ несколько сценариев реализации угроз (например, каскадное распространение промпт-атаки)
▪️ меры обеспечения кибербезопасности AI-агентов - самое интересное, на чем остановимся подробнее
🔒 Как защитить AI-агентов
На странице 69 расписано 12 различных мер.
Начинаем, конечно, с мониторинга. AI-агенты, как мы помним, сами по себе моделями не являются, соответственно ответы пользователям генерить не могут. Поэтому существуют обращения агентов к LLM, при чем как минимум - два. Первое с исходным входным текстом, чтобы сгенерировать запрос на выполнение действия (-й), второе - с результатом выполнения для генерации финального ответа. И это, по-хорошему, все надо логировать. Начиная от id потребителя и, в случае большой корпоративной системы, id фронтальной поверхности, заканчивая id сессии и id актуального коммита в памяти AI-агента на момент совершения события аудита.
Другой хорошей практикой (мерой), особенно в критичных системах, является ограничение формата вывода агентов со свободного естественного языка до набора детерминированных значений. Поможет и утечек избежать, и распространения промпт-атак, и других нежелательных последствий.
Собраны и некоторые общеизвестные, по-моему, вещи, но все-таки стоящие упоминания: проводить redteam-тестирование, ввести максимально жесткий контроль доступа, применять SAST/SCA к генерируемому агентами исполняемому коду, организовать рейтлимиты и прочие контроли надежности против спонж-атак, и несколько других пунктов.
И еще отдельно отмечу простое и при этом мне показавшееся, когда я увидел, неочевидным, правило: отслеживайте наличие в системном промпте любых секретов. Это могут быть ключи, токены, имена баз данных или учеток, словом - всего, что не нужно знать потребителю AI-агента. Потому что нельзя забывать - системный промпт модель обязательно расскажет(ее хлебом не корми - дай системник рассказать) , а значит, его инфу можно считать заведомо утекшей.
👀 Итого
Берегитечесть безопасность AI-агентов смолоду с ранних этапов проектирования - эта прописная истина работает и тут. И авторы дают конкретные предложения, как именно это делать. Документ отлично дополняет показанную в апреле модель угроз, покрывая агентную ее часть.
🔫 Предлагаю челлендж - будет больше 50 реакций под постом, сделаю свою версию маппинга угроз из МУ Сбера на митигации из данного гайда.
#иб_для_ml
Но мне, конечно интересна в первую очередь кибербезопасность. И да, такой раздел в этом документе имеется. Внимание на страницы 65-69.
На странице 69 расписано 12 различных мер.
Начинаем, конечно, с мониторинга. AI-агенты, как мы помним, сами по себе моделями не являются, соответственно ответы пользователям генерить не могут. Поэтому существуют обращения агентов к LLM, при чем как минимум - два. Первое с исходным входным текстом, чтобы сгенерировать запрос на выполнение действия (-й), второе - с результатом выполнения для генерации финального ответа. И это, по-хорошему, все надо логировать. Начиная от id потребителя и, в случае большой корпоративной системы, id фронтальной поверхности, заканчивая id сессии и id актуального коммита в памяти AI-агента на момент совершения события аудита.
Другой хорошей практикой (мерой), особенно в критичных системах, является ограничение формата вывода агентов со свободного естественного языка до набора детерминированных значений. Поможет и утечек избежать, и распространения промпт-атак, и других нежелательных последствий.
Собраны и некоторые общеизвестные, по-моему, вещи, но все-таки стоящие упоминания: проводить redteam-тестирование, ввести максимально жесткий контроль доступа, применять SAST/SCA к генерируемому агентами исполняемому коду, организовать рейтлимиты и прочие контроли надежности против спонж-атак, и несколько других пунктов.
И еще отдельно отмечу простое и при этом мне показавшееся, когда я увидел, неочевидным, правило: отслеживайте наличие в системном промпте любых секретов. Это могут быть ключи, токены, имена баз данных или учеток, словом - всего, что не нужно знать потребителю AI-агента. Потому что нельзя забывать - системный промпт модель обязательно расскажет
Берегите
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2🔥1
CSI_AI_DATA_SECURITY.PDF
798.7 KB
Руководство по защите датасетов для проектов по машинному обучению и искусственному интеллекту.
#ии #mlsecops
#ии #mlsecops
🔥2👍1
Выдержки об ИИ из приказа ФСТЭК № 117
П. 49: ИИ для мониторинга безопасности
«Допускается использование доверенных технологий искусственного интеллекта для анализа событий безопасности».
🔹ФСТЭК впервые легализовал ИИ в ИБ-мониторинге, но с ключевым ограничением – только «доверенные» (российские) решения. Это значит, что:
😶 Зарубежные SIEM (Splunk, ArcSight) не подходят;
😶 Нужны продукты с сертифицированными ИИ-модулями (например, Sber AI или Yandex AI);
П. 60: Запрет передачи данных
«Не допускается передача лицу, разработавшему модель ИИ, информации ограниченного доступа».
🔹Это революционное требование запрещает:
😶 Дообучение моделей на чувствительных данных (гостайна, персданные);
😶 Использование SaaS-ИИ (ChatGPT, Claude, DeepSeek) для обработки госинформации;
🔹Даже российские вендоры (Sber, Yandex) не получат доступ к сырым данным – только к анонимизированным датасетам.
П. 60: Защита ИИ-инфраструктуры
«Защита за счет воздействия на: наборы данных, модели, параметры, процессы обработки».
🔹ФСТЭК предписывает защищать весь ИИ-стек:
😶 Данные: Шифрование (КриптоПро), DLP (Гарда DLP), БД (Гарда БД)
😶 Модели: Контейнеризация (Kubernetes);
😶 API: Анализ трафика (Гарда WAF и NDR);
Это сложнее, чем защита традиционных ИС.
П. 61: Контроль запросов/ответов
«Определены шаблоны запросов [...] контроль соответствия [...] разработаны критерии для выявления недостоверных ответов».
😶 Фактически вводится «цензура ИИ»:
😶 Для шаблонных интерфейсов – белый список команд (например, только SQL-запросы);
😶 Для чат-ботов – фильтр тематик («запрещено спрашивать про гостайну»);
Ответы ИИ проверяются на галлюцинации (ложные факты) – нужны теперь встроенные детекторы в LLM.
П. 61: Реагирование на ложные ответы
«Реагирование [...] посредством ограничения области принимаемых решений».
🔹Если ИИ сгенерировал рискованный ответ (например, «удалить базу данных»), система должна:
😶 Автоматически заблокировать выполнение команды;
😶 Изолировать сегмент ИС;
Это требует интеграции ИИ с системами управления доступами
П. 61: Локализация ИИ
«Доверенные технологии ИИ [...] включаются непосредственно в состав ИС».
🔹Облачные ИИ-сервисы запрещены! Разрешены только:
😶 Локальные (on-premise);
😶 Российское ПО
П. 49: ИИ для мониторинга безопасности
«Допускается использование доверенных технологий искусственного интеллекта для анализа событий безопасности».
🔹ФСТЭК впервые легализовал ИИ в ИБ-мониторинге, но с ключевым ограничением – только «доверенные» (российские) решения. Это значит, что:
П. 60: Запрет передачи данных
«Не допускается передача лицу, разработавшему модель ИИ, информации ограниченного доступа».
🔹Это революционное требование запрещает:
🔹Даже российские вендоры (Sber, Yandex) не получат доступ к сырым данным – только к анонимизированным датасетам.
П. 60: Защита ИИ-инфраструктуры
«Защита за счет воздействия на: наборы данных, модели, параметры, процессы обработки».
🔹ФСТЭК предписывает защищать весь ИИ-стек:
Это сложнее, чем защита традиционных ИС.
П. 61: Контроль запросов/ответов
«Определены шаблоны запросов [...] контроль соответствия [...] разработаны критерии для выявления недостоверных ответов».
Ответы ИИ проверяются на галлюцинации (ложные факты) – нужны теперь встроенные детекторы в LLM.
П. 61: Реагирование на ложные ответы
«Реагирование [...] посредством ограничения области принимаемых решений».
🔹Если ИИ сгенерировал рискованный ответ (например, «удалить базу данных»), система должна:
Это требует интеграции ИИ с системами управления доступами
П. 61: Локализация ИИ
«Доверенные технологии ИИ [...] включаются непосредственно в состав ИС».
🔹Облачные ИИ-сервисы запрещены! Разрешены только:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👍1🔥1
Forwarded from AlexRedSec
Компания Pillar Security опубликовала разработанный совместно с коллегами по цеху фреймворк SAIL (Secure AI Lifecycle), представляющий собой процессно-ориентированное руководство по разработке и развертыванию безопасных ИИ-приложений🧠
По факту фреймворк представляет собой матрицу рисков, сгруппированных по семи этапам разработки и развертывания ИИ-приложений. Для каждого риска есть описание, пример небезопасной реализации, затрагиваемые компоненты ИИ-приложения, меры митигации и связанные требования/меры из фреймворков NIST AI RMF, ISO 42001, OWASP и DASF.
В размещённой на сайте брошюре можно найти разбор пары кейсов атак и примеры выборы мер митигации из фрейворка SAIL, а в самом последнем приложении — ссылки на полезные руководства и фреймворки в области ИИ.
#ai #framework #risk #sail #lifecycle
По факту фреймворк представляет собой матрицу рисков, сгруппированных по семи этапам разработки и развертывания ИИ-приложений. Для каждого риска есть описание, пример небезопасной реализации, затрагиваемые компоненты ИИ-приложения, меры митигации и связанные требования/меры из фреймворков NIST AI RMF, ISO 42001, OWASP и DASF.
В размещённой на сайте брошюре можно найти разбор пары кейсов атак и примеры выборы мер митигации из фрейворка SAIL, а в самом последнем приложении — ссылки на полезные руководства и фреймворки в области ИИ.
#ai #framework #risk #sail #lifecycle
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1
Forwarded from howtocomply_AI: право и ИИ (Dmitry Kuteynikov)
Изучаем китайские стандарты по кибербезопасности в сфере ИИ
Делюсь с вами ещё одной порцией важных документов из Китая. К сожалению, не все из них переведены даже на английский. Но мы разберёмся👀 . Так вот, Комитет по стандартизации в сфере информационной безопасности TC260 утвердил весной после публичных обсуждений несколько обязательных стандартов:
Базовые требования безопасности для сервисов генеративного ИИ (есть перевод на английский проекта стандарта)
Документ устанавливает общие требования для всех стадий жизненного цикла систем ИИ, которые должны выполнять все поставщики. Требований довольно много, включая обширные аспекты из менеджмента информационной безопасности, качества, данных. Во многом он является общим и для других двух стандартов, которые направлены на отдельные стадии жизненного цикла.
Из интересного:
- все наборы данных должны проверяться, допускается только не более 5% противоправного и незаконно полученного контента;
- модель должна обеспечивать корректные, безопасные, соответствующие социалистическим ценностям ответы;
- системы ИИ должны демонстрировать для несовершеннолетних контент, направленный на их физическое и психологическое здоровье;
- система должна принимать меры по предотвращению повторного ввода противоправных запросов. Например, пользователя нужно банить, если он ввёл три раза подряд или пять раз за день нарушающий закон или вредный промт;
- число ключевых слов для отбора контента должно быть не менее 10 тыс., причём не менее 100 на каждый из обозначенных в документе рисков;
- поставщики должны создать банк из примерных вопросов для системы ИИ из не менее чем 2000 фраз. При этом не менее 500 из них должны входить в банк запрещённых вопросов. Сюда включены и национальная безопасность, и имидж государства. Мы все с вами помним, на какие вопросы отказывается отвечать DeepSeek. Вот вам и подробное нормативное объяснение, каким образом это работает.
Спецификация по безопасности для аннотирования данных для генеративного ИИ
Из интересного:
- сотрудники, осуществляющие аннотирование данных, должны быть обучены, а их роли чётко распределены, чтобы избегать негативных последствий. Безопасность рабочих мест должна быть обеспечена как с точки зрения информационной безопасности, так и физической;
- на всех этапах аннотирования должно быть обеспечено логирование и отслеживание всех действий и вовлечённых субъектов;
- не менее 3% данных должны быть размечены с целью безопасности. При этом если при проверке окажется, что более 5% данных с такой аннотацией некорректны или содержат опасные элементы, вся партия подлежит аннулированию и переразметке;
- стандарт содержит образцы правильных и неправильных аннотаций, чтобы исключить двусмысленную интерпретацию (например, как корректно отклонять запросы, связанные с нарушением закона).
Спецификация по безопасности для предварительного обучения и дообучения генеративного ИИ
Из интересного:
- стандарт предусматривает выборочную проверку данных на соответствие законодательным требованиям, включая случайную ручную выборку не менее 10% записей для проверки источников данных на наличие незаконной и нежелательной информации во время сбора. Однако это относится к проверке источников данных, а не ко всему объёму данных обучения в целом. При этом установлено, что если в выборке доля незаконной или нежелательной информации превышает 5%, источник данных подлежит исключению;
- если в партии данных содержится информация из зарубежных источников, то в неё должна быть добавлена ещё и разумная доля отечественных;
- необходимо проводить фильтрацию и оценку данных на предмет наличия отравленных данных.
Документы начнут действовать 1 ноября 2025 года.
Делюсь с вами ещё одной порцией важных документов из Китая. К сожалению, не все из них переведены даже на английский. Но мы разберёмся
Базовые требования безопасности для сервисов генеративного ИИ (есть перевод на английский проекта стандарта)
Документ устанавливает общие требования для всех стадий жизненного цикла систем ИИ, которые должны выполнять все поставщики. Требований довольно много, включая обширные аспекты из менеджмента информационной безопасности, качества, данных. Во многом он является общим и для других двух стандартов, которые направлены на отдельные стадии жизненного цикла.
Из интересного:
- все наборы данных должны проверяться, допускается только не более 5% противоправного и незаконно полученного контента;
- модель должна обеспечивать корректные, безопасные, соответствующие социалистическим ценностям ответы;
- системы ИИ должны демонстрировать для несовершеннолетних контент, направленный на их физическое и психологическое здоровье;
- система должна принимать меры по предотвращению повторного ввода противоправных запросов. Например, пользователя нужно банить, если он ввёл три раза подряд или пять раз за день нарушающий закон или вредный промт;
- число ключевых слов для отбора контента должно быть не менее 10 тыс., причём не менее 100 на каждый из обозначенных в документе рисков;
- поставщики должны создать банк из примерных вопросов для системы ИИ из не менее чем 2000 фраз. При этом не менее 500 из них должны входить в банк запрещённых вопросов. Сюда включены и национальная безопасность, и имидж государства. Мы все с вами помним, на какие вопросы отказывается отвечать DeepSeek. Вот вам и подробное нормативное объяснение, каким образом это работает.
Спецификация по безопасности для аннотирования данных для генеративного ИИ
Из интересного:
- сотрудники, осуществляющие аннотирование данных, должны быть обучены, а их роли чётко распределены, чтобы избегать негативных последствий. Безопасность рабочих мест должна быть обеспечена как с точки зрения информационной безопасности, так и физической;
- на всех этапах аннотирования должно быть обеспечено логирование и отслеживание всех действий и вовлечённых субъектов;
- не менее 3% данных должны быть размечены с целью безопасности. При этом если при проверке окажется, что более 5% данных с такой аннотацией некорректны или содержат опасные элементы, вся партия подлежит аннулированию и переразметке;
- стандарт содержит образцы правильных и неправильных аннотаций, чтобы исключить двусмысленную интерпретацию (например, как корректно отклонять запросы, связанные с нарушением закона).
Спецификация по безопасности для предварительного обучения и дообучения генеративного ИИ
Из интересного:
- стандарт предусматривает выборочную проверку данных на соответствие законодательным требованиям, включая случайную ручную выборку не менее 10% записей для проверки источников данных на наличие незаконной и нежелательной информации во время сбора. Однако это относится к проверке источников данных, а не ко всему объёму данных обучения в целом. При этом установлено, что если в выборке доля незаконной или нежелательной информации превышает 5%, источник данных подлежит исключению;
- если в партии данных содержится информация из зарубежных источников, то в неё должна быть добавлена ещё и разумная доля отечественных;
- необходимо проводить фильтрацию и оценку данных на предмет наличия отравленных данных.
Документы начнут действовать 1 ноября 2025 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1
Белые хакеры из университета Торонто придумали новую атаку на GPU
Впервые была продемонстрирована возможность реализации RowHammer-атаки на GPU😎 , а не на традиционных процессорах. В качестве примера специалисты использовали видеокарту NVIDIA A6000 с памятью GDDR6, где удалось добиться изменения отдельных битов в видеопамяти. Это может привести к разрушению целостности данных без прямого доступа к ним.
Особую обеспокоенность вызывает тот факт, что даже один бит-флип способен обрушить точность искусственного интеллекта: модель, обученная на ImageNet и ранее демонстрировавшая 80% точности, в результате атаки показала менее 1%. Такое влияние превращает GPUHammer из технической аномалии в мощный инструмент разрушения ИИ-инфраструктуры, включая подмену внутренних параметров модели и отравление обучающих данных😟
В отличие от процессоров, графические ускорители зачастую не обладают встроенными механизмами защиты, такими как контроль доступа на уровне инструкций или проверки чётности. Именно это делает их более уязвимыми к атакам низкого уровня, особенно в условиях разделяемых вычислительных сред — например, в облачных платформах или виртуальных рабочих столах🤔
Подробнее.
#аналитика
@finbeza
Впервые была продемонстрирована возможность реализации RowHammer-атаки на GPU
Особую обеспокоенность вызывает тот факт, что даже один бит-флип способен обрушить точность искусственного интеллекта: модель, обученная на ImageNet и ранее демонстрировавшая 80% точности, в результате атаки показала менее 1%. Такое влияние превращает GPUHammer из технической аномалии в мощный инструмент разрушения ИИ-инфраструктуры, включая подмену внутренних параметров модели и отравление обучающих данных
В отличие от процессоров, графические ускорители зачастую не обладают встроенными механизмами защиты, такими как контроль доступа на уровне инструкций или проверки чётности. Именно это делает их более уязвимыми к атакам низкого уровня, особенно в условиях разделяемых вычислительных сред — например, в облачных платформах или виртуальных рабочих столах
Подробнее.
#аналитика
@finbeza
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1🔥1
Forwarded from AlexRedSec
AI Controls Matrix (AICM) — ещё один фреймворк, содержащий набор мер управления для безопасной разработки, внедрения и эксплуатации облачных систем искусственного интеллекта от Cloud Security Alliance🧠
Фреймворк включает в себя:
🟡 Матрицу мер управления, включающую в себя 243 контроля, сгруппированных по 18 доменам безопасности. Каждая мера привязана к типу/компоненту инфраструктуры и архитектуры, этапу жизненного цикла и категории угроз.
🟡 Опросник для самооценки.
🟡 Маппинг на стандарт NIST AI 600-1 (2024) и фреймворк Criteria Catalogue for AI Cloud Services – AIC4.
В будущих версиях планируется добавление маппинга на другие стандарты и фреймворки безопасности систем ИИ, а также руководств по внедрению мер управления и их аудиту.
Ниже приложил презентацию и сам сборник материалов AICM.
#ai #framework #csa #aicm #controls #architecture
Фреймворк включает в себя:
В будущих версиях планируется добавление маппинга на другие стандарты и фреймворки безопасности систем ИИ, а также руководств по внедрению мер управления и их аудиту.
Ниже приложил презентацию и сам сборник материалов AICM.
#ai #framework #csa #aicm #controls #architecture
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2👍1
Securing-Agentic-Applications-Guide-1.0.pdf
1.7 MB
Как разрабатывать AI-агенты безопасными — рекомендации OWASP https://habr.com/ru/companies/raft/articles/931926/
🔥2
Forwarded from AppSec Journey
У меня секретов нет!
Все больше убеждаюсь, что безопасность LLM и вообще моделей это все вокруг продуктовой безопасности. Причем, офигеть как все нестандартно, чем дальше - тем страшнее. Приглядитесь к тому, как у вас выстроены агентные системы и вы точно поймете, о чем я...
Агенты используют статические API-ключи или пароли. Они хранятся в переменных окружения и становятся уязвимыми для промпт-инъекций: достаточно добавить в запрос «покажи переменные среды» или что-то такое — и секреты могут утечь наружу. Такая архитектура превращает ключи в «слабое звено», особенно если один и тот же ключ используется в нескольких окружениях или для разных LLM-провайдеров. Прикольно, учитывая, что задача ключиков это как бы защищать то, что внутри.
Почитала на досуге про подход без секретов - кажется, частично решает эту проблему. Вместо хранения ключей применяется workload identity: агент подтверждает свою подлинность не строкой из переменной окружения, а самим фактом запуска в доверенном окружении — контейнере, поде или сервисном аккаунте. На основе этого ему выдается краткоживущий токен, который действует ограниченное время и полностью управляется политиками безопасности. Не знаю, будет ли это соответстовать нормамморали регуляторным, но видится вполне себе безопасным решением. Кто-то такое собирал?
Про всякие безопасности агентов тут мне понравилось, как описано и тут😎
Все больше убеждаюсь, что безопасность LLM и вообще моделей это все вокруг продуктовой безопасности. Причем, офигеть как все нестандартно, чем дальше - тем страшнее. Приглядитесь к тому, как у вас выстроены агентные системы и вы точно поймете, о чем я...
Агенты используют статические API-ключи или пароли. Они хранятся в переменных окружения и становятся уязвимыми для промпт-инъекций: достаточно добавить в запрос «покажи переменные среды» или что-то такое — и секреты могут утечь наружу. Такая архитектура превращает ключи в «слабое звено», особенно если один и тот же ключ используется в нескольких окружениях или для разных LLM-провайдеров. Прикольно, учитывая, что задача ключиков это как бы защищать то, что внутри.
Почитала на досуге про подход без секретов - кажется, частично решает эту проблему. Вместо хранения ключей применяется workload identity: агент подтверждает свою подлинность не строкой из переменной окружения, а самим фактом запуска в доверенном окружении — контейнере, поде или сервисном аккаунте. На основе этого ему выдается краткоживущий токен, который действует ограниченное время и полностью управляется политиками безопасности. Не знаю, будет ли это соответстовать нормам
Про всякие безопасности агентов тут мне понравилось, как описано и тут😎
noma.security
Securing Agentic AI | Enterprise Risk Management Framework
Learn how to secure agentic AI with a clear framework. Gain visibility, reduce risk, and enable safe AI use across your enterprise.
🔥2👍1🤗1