生成AIだますプロンプトインジェクションに脆弱性、情報流出招く恐れ
マイナビニュース / 2024年8月30日 12時51分
○スクリプトの実行
LangChainの実験的パッケージ「langchain-experimental」に含まれる「Vector SQL Database Chain Retriever モジュール」からプロンプトインジェクションの脆弱性が発見された。このモジュールは大規模言語モデルにSQLクエリ構築機能を提供するが、SQLの応答をPythonのeval関数を使用して応答する。
そのため、攻撃者はSQLの応答がPythonスクリプトになるようプロンプトを構築することで、任意のPythonスクリプトを実行させることができる。このセキュリティ脆弱性は「CVE-2024-21513」として追跡されており、すでに修正されている。
○結論
AIエージェントはそれ自体の実装に基づく脆弱性に加え、LLMが抱える脆弱性を内包することになる。このような脆弱性を回避するために、開発者は攻撃対象領域を検証し、サニタイズ、エスケープなどを適切に実装する必要がある。
SnykはLLMを使用したAI開発を支援し脆弱性を防止するため、Lakeraおよびオワスプ(OWASP: Open Web Application Security Project)と協力してセキュリティ標準「OWASP LLM Security Verification Standard | OWASP Foundation」を策定した。このセキュリティ標準を採用することで、LLMアプリケーションを適切に保護し、高度なセキュリティ標準を満たすことが可能とされ、積極的な活用が望まれている。
(後藤大地)
-
- 1
- 2
この記事に関連するニュース
-
機密を狙う“闇の帝王”降臨? マルウェア「ヴォルデモート」出現 日本もターゲットに
ITmedia NEWS / 2024年9月4日 18時10分
-
Googleスプレッドシートを悪用、税務署偽るフィッシングメールに警戒を
マイナビニュース / 2024年9月2日 12時22分
-
“AI同士で仕事をこなす”新時代のセキュリティを切り拓くLakera、資金調達には著名SaaS企業らが参加
Techable / 2024年8月28日 18時0分
-
生成AIやLLMにより高度化するフィッシング、どう対抗するか 第3回 「礼儀正しく、疑い深い」組織を育成し、AI時代のフィッシングに備える
マイナビニュース / 2024年8月20日 10時25分
-
生成AIが加速させる?「普通の人」でも容易にハイレベルな攻撃が可能に
マイナビニュース / 2024年8月16日 10時10分
ランキング
-
1「iPhone 16/16 Pro」は何が進化した? iPhone 15シリーズとスペックを比較する
ITmedia Mobile / 2024年9月10日 9時22分
-
2イケアのまな板「コスパいい」なぜかオーディオ愛好家に好評 「発想が柔軟」目的外使用にはリスクも
iza(イザ!) / 2024年9月9日 17時50分
-
3「iPhone 16 Pro」発表 Maxは史上最大の6.9インチ、Proにも5倍ズーム搭載 4K120fps撮影も
ITmedia NEWS / 2024年9月10日 4時13分
-
4「Xiaomi 14 Ultra」と「AQUOS R9」のカメラを比較 ライカ監修カメラの実力はどれほど違うのか
ITmedia Mobile / 2024年9月9日 6時5分
-
5「草生えたwww」 とんでもない場所に生えた米……! 衝撃の光景に10万いいね 「たくましくて草 いや米」「強い!」
ねとらぼ / 2024年9月10日 12時15分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください