Открытые конечные точки LLM стали главным вектором кибератак
3 мин
17
Компании всё чаще разворачивают собственные большие языковые модели (БЯМ) и вместе с ними создают множество внутренних сервисов и API. Однако открытые конечные точки повышают риски в инфраструктуре. Издание HakerNews отмечает, что проблемы с безопасностью теперь исходят не от самих моделей, а от инфраструктуры, где они работают. Каждая новая конечная точка расширяет поверхность атаки, и при быстром развёртывании эти риски могут остаться незамеченными. Особенно такой риск актуален, если конечные точки считают доверенными по умолчанию.
Подобные точки часто получают избыточные права, а учётные записи с долгим сроком жизни могут попасть в распоряжение злоумышленников. Если это случится, они получат доступ к системам и идентификационным данным, которые служат источником информации для LLM. Поэтому привилегии конечных точек и стали одним из главных векторов атак.
В современной инфраструктуре конечная точка — это любой интерфейс, через который пользователь, приложение или сервис общается с моделью. Типичные примеры: API для обработки промптов, интерфейсы для обновления моделей, системы администрирования для мониторинга. Многие развёртывания используют точки для запуска плагинов, которые дают моделям доступ к базам данных и внешним сервисам.
Главная сложность в том, что большинство таких точек создают ради скорости работы, а не долгосрочной безопасности. Например, их используют для экспериментов или ранних версий продукта, а после забывают об их существовании. В итоге они работают без контроля и с правами шире, чем нужно. Конечная точка становится границей безопасности, и её настройки определяют, как далеко смогут продвинуться хакеры.
При этом модели редко взламывают одним ударом. Обычно атака развивается постепенно — через второстепенные решения, использованные при разработке. Разработчики часто открывают внутренние API публично для ускорения тестов, а аутентификацию откладывают. Точка остаётся доступной дольше, чем планировалось. Многие используют жёстко прописанные токены или ключи API, которые вообще не меняют.
Команды часто считают: внутреннее — значит безопасное. Но внутренние сети могут быть доступны через VPN или из-за ошибок в конфигурации. Точки для отладки или демо также редко удаляют, они остаются активными, но никем не контролируются. Неправильно настроенный облачный шлюз или файрвол может случайно выставить внутреннюю точку в интернет.
Открытые конечные точки особенно опасны для LLM, потому что их взлом позволяет получить доступ намного дальше самой модели. Точки интегрированы с базами, внутренними инструментами и облачными сервисами.
