Grands modèles de langage (LLM) et sécurité des données

Grands modèles de langage (LLM) et sécurité des données

Partager le post

Compte tenu du rythme rapide du développement de l’IA avec les LLM, il devient de plus en plus clair que les garde-fous de base, les contrôles de plausibilité et les mesures de sécurité basées sur des invites actuellement en place sont perméables et inadéquats.

Lors de l’élaboration de stratégies visant à améliorer la sécurité des données dans les charges de travail d’IA, il est crucial de changer de perspective et de considérer l’IA comme une personne vulnérable aux attaques d’ingénierie sociale. Cette analogie peut aider les entreprises à mieux comprendre les vulnérabilités et les menaces auxquelles sont confrontés les systèmes d’IA et à développer des mesures de sécurité plus robustes. Vast Data, fournisseur d'une plate-forme de données pour les charges de travail d'IA, explique les problèmes de sécurité liés aux LLM : Les flux de travail modernes d'IA générative changent fondamentalement la manière dont les données sont stockées et accessibles.

Exposition

Flux de travail modernes d’IA générative

Contrairement au stockage de données traditionnel, où les métadonnées et les contrôles d'accès restent étroitement liés aux données, le pipeline d'IA fragmente et distribue les données entre plusieurs composants : le modèle de langage lui-même, les invites, les bases de données intégrées, le stockage vectoriel et les sorties générées. Ce changement architectural signifie que les contrôles de sécurité traditionnels tels que les groupes Active Directory et les listes de contrôle d'accès (ACL) sont inefficaces. En effet, ces contrôles ne passent pas par le processus de transformation de l'IA. Un nouveau paradigme de sécurité est nécessaire pour protéger les données dans cet écosystème d'IA distribué.

Défi de sécurité posé par les LLM

Les chatbots basés sur les grands modèles linguistiques (LLM) sont conçus pour être utiles aux utilisateurs. Cependant, c’est précisément ce qui rend les LLM vulnérables aux astuces et aux mensonges pouvant conduire à la divulgation d’informations sensibles ou au contournement des contrôles de sécurité. L’IA d’ingénierie sociale est devenue un vecteur d’attaque nouveau et inquiétant. Contrairement aux menaces traditionnelles, les systèmes d’IA peuvent être exploités via des invites soigneusement conçues pour accéder ou divulguer des données protégées.

Les défis de sécurité posés par l’IA générative sont divers et complexes. À la base, ces systèmes ne sont pas intrinsèquement sécurisés, car les modèles eux-mêmes peuvent stocker et divulguer par inadvertance des données de formation sensibles. Ce risque est aggravé par le fait que les mesures de sécurité et les contrôles d’accès traditionnels sur lesquels s’appuient les organisations ne sont pas clairement applicables aux interactions avec l’IA.

L’émergence d’attaques par injection rapide, dans lesquelles des entrées soigneusement conçues peuvent manipuler les systèmes d’IA et révéler des informations exclusives, est particulièrement préoccupante. Les outils et cadres de sécurité existants n’ont pas été conçus en tenant compte des vulnérabilités spécifiques à l’IA, créant ainsi des failles dangereuses dans nos défenses. À mesure que l’adoption de l’IA s’accélère, les organisations ont besoin de toute urgence de nouvelles approches et de nouveaux cadres pour évaluer et gérer ces risques de sécurité uniques.

Diplômes de sécurité et LLM

Bien que les experts en sécurité aient tenté de mettre en œuvre des mesures de sécurité rapides, ces solutions se sont révélées inadéquates. Les approches courantes incluent l'ajout de déclarations de sécurité aux invites du système, la mise en œuvre de filtres par mots clés et d'analyses de sortie, ainsi que l'utilisation de modèles d'invite et de validation. La surveillance des modèles d'interaction suspects ainsi que la limitation du débit et les contrôles d'accès sont également courants.

Cependant, ces mesures peuvent souvent être contournées grâce à un développement créatif rapide, à une manipulation du contexte ou à l'exploitation de la tendance de l'IA à être utile. Il existe déjà quelques exemples de personnes contournant les mesures de sécurité basées sur les invites de ChatGPT. Il s’agit d’un problème qui affecte toutes les charges de travail d’IA générative, ChatGPT est actuellement la cible la plus populaire et la plus importante. Par conséquent, des approches plus robustes et systématiques de la sécurité de l’IA sont nécessaires, qui traitent les systèmes d’IA avec la même rigueur de sécurité que les utilisateurs humains.

solutions

Lorsqu'il s'agit de protéger les données dans les charges de travail d'IA générative, il est important de revenir à une vérité fondamentale : le seul moyen garanti de protéger les données des systèmes d'IA est la même approche que celle utilisée pour protéger les données des humains. Tout comme les entreprises contrôlent soigneusement l’accès humain aux informations sensibles grâce à de solides mécanismes d’authentification et d’autorisation, elles doivent désormais appliquer des protections appropriées aux systèmes d’IA qui interagissent avec leurs données. Cela signifie garantir que les utilisateurs disposent d’un accès approprié aux données conformément aux principes Zero Trust. Il est également nécessaire de mettre en œuvre des contrôles de sécurité au niveau du LLM, de l'intégration, du stockage vectoriel et de la base de données, ainsi que de consigner et d'auditer tous les accès aux données.

Même si les entreprises utilisent un LLM à usage général, les données avec lesquelles elles interagissent peuvent être sensibles et nécessiter le même niveau de protection. Les exemples fictifs suivants illustrent la nécessité de contrôles de sécurité à chaque niveau du pipeline IA : un ingénieur en sécurité peut avoir accès à un LLM adapté aux données de sécurité, et le pipeline génératif AI RAG a accès à des données supplémentaires. Les contrôles de sécurité doivent être appliqués à tous les niveaux. Un responsable marketing, à son tour, peut avoir accès à un LLM aligné sur les données marketing, et le pipeline génératif AI RAG a accès à des données supplémentaires. Dans ce cas également, les contrôles de sécurité doivent être appliqués à tous les niveaux. Ces personnes peuvent avoir simultanément accès à des informations supplémentaires telles que les politiques de ressources humaines, les procédures et d'autres données de l'entreprise, ce qui rend la solution difficile.

Les développements actuels nécessitent des solutions capables de fournir une sécurité complète pour les charges de travail d'IA générative à une échelle exascale afin de résoudre le problème de la propagation des données et les risques de sécurité associés au stockage des données dans plusieurs emplacements. Une autorité centrale pour gérer l’authentification de fichiers complexes et multicouches est idéale. En combinant des pipelines de données sécurisés avec des capacités d'audit robustes, une telle instance garantit une visibilité en temps réel sur les accès et les événements opérationnels. Cette double focalisation sur la sécurité et la responsabilité fait d'InsightEngine une pierre angulaire des processus basés sur l'IA, répondant aux besoins des écosystèmes d'IA modernes avec un haut niveau de précision, d'évolutivité et de conformité.

Plus sur VastData.com

 


À propos des données VAST

VAST Data est la société de plateforme de données conçue pour l'ère de l'IA. En tant que nouvelle norme pour l'infrastructure d'IA d'entreprise, les entreprises s'appuient sur la plateforme de données VAST pour répondre à leurs besoins informatiques les plus gourmands en données. VAST Data permet aux organisations d'exploiter tout le potentiel de leurs données en fournissant une infrastructure d'IA simple, évolutive et conçue dès le départ pour l'apprentissage profond et les centres de données et cloud accélérés par GPU.


Articles liés au sujet

Outils de cybersécurité basés sur l’IA – une question de confiance

Malgré le battage médiatique : près de 60 % des entreprises allemandes considèrent les lacunes potentielles des outils de cybersécurité basés sur l'IA générative comme un problème majeur. ➡ En savoir plus

Publicité ou réalité : prévisions en matière de cybersécurité pour 2025 

Les prédictions en matière de cybersécurité abondent chaque année, et beaucoup d’entre elles sont exagérées. Il est plus judicieux d’examiner les données et ➡ En savoir plus

Tendance : les cybercriminels coopèrent dans le monde entier

Les cybercriminels deviennent de plus en plus agiles et travaillent ensemble dans le monde entier. C’est ce que démontre le nouveau rapport de recherche « Combler les divisions, transcender les frontières : l’état actuel ➡ En savoir plus

BYOD : 4 conseils pour minimiser les risques de sécurité

BYOD (Bring Your Own Device) signifie que les employés des entreprises sont autorisés à utiliser leurs appareils personnels pour travailler. Cela peut ➡ En savoir plus

Vulnérabilité zero-day dans Ivanti Connect Secure VPN

Mandiant a publié les détails d'une vulnérabilité zero-day (CVE-2025-0282) qu'Ivanti a divulguée et corrigée simultanément, affectant ses produits Ivanti ➡ En savoir plus

2025 : voici comment le paysage de la sécurité informatique va changer

Cinq tendances influenceront le paysage de la sécurité informatique en 2025. Sa complexité continuera de croître, avec de nouvelles technologies telles que l’IA et l’informatique quantique. ➡ En savoir plus

Akira Ransomware reste actif

Akira est resté plutôt discret au premier semestre 2024. Mais les criminels n’ont pas chômé l’année dernière. Vers la fin de ➡ En savoir plus

Sécurité informatique 2025 : risques et stratégies

En 2025, les équipes de sécurité informatique seront confrontées à des défis majeurs : les attaques deviendront plus complexes et les surfaces d’attaque numériques de plus en plus grandes. Des tendances telles que la défense basée sur l’IA et la sécurisation des modèles de travail hybrides ➡ En savoir plus