Hướng dẫn này cung cấp thông tin quan trọng cho nhà phát triển xây dựng các ứng dụng Android bằng AI tạo sinh (GenAI). Việc tích hợp AI tạo sinh đặt ra những thách thức riêng biệt ngoài phạm vi phát triển phần mềm thông thường.
Tài liệu hướng dẫn này liên tục được cập nhật để phản ánh những rủi ro mới và ngày càng gia tăng liên quan đến AI. Hãy tham khảo nội dung này để hiểu rõ những rủi ro đáng kể liên quan đến việc tích hợp các chức năng của AI tạo sinh vào ứng dụng và khám phá các chiến lược giảm thiểu hiệu quả.
Chèn câu lệnh
Nội dung mô tả về rủi ro theo OWASP
Kẻ tấn công tạo ra các đầu vào (câu lệnh) độc hại để đánh lừa mô hình nhằm bỏ qua các chính sách bảo mật và an toàn hoặc thực hiện các hành động không mong muốn. Một cuộc tấn công thành công có thể khiến mô hình tiết lộ dữ liệu nhạy cảm, tạo nội dung có hại hoặc thực hiện các hành động không mong muốn, làm tổn hại đến lòng tin của người dùng. Tìm hiểu cách giảm thiểu các cuộc tấn công bằng kỹ thuật chèn câu lệnh.
Tiết lộ thông tin nhạy cảm
Nội dung mô tả về rủi ro theo OWASP
Các mô hình AI tạo sinh gây ra nguy cơ đáng kể về việc tiết lộ thông tin nhạy cảm, có thể làm rò rỉ nhiều loại dữ liệu ảnh hưởng đến cả LLM và ngữ cảnh ứng dụng của LLM. Rò rỉ có thể xảy ra khi mô hình xuất dữ liệu bí mật này cho những người dùng khác, khi các nhà cung cấp học máy dưới dạng dịch vụ (MLaaS) lưu trữ lời nhắc không an toàn hoặc khi các tác nhân độc hại khai thác hệ thống để tiết lộ logic nội bộ. Hậu quả rất nghiêm trọng, từ việc vi phạm quyền sở hữu trí tuệ và các hình phạt theo quy định (ví dụ: GDPR, CCPA) cho đến việc mất hoàn toàn niềm tin của người dùng và hệ thống bị xâm nhập. Tìm hiểu cách giảm thiểu rủi ro để lộ thông tin nhạy cảm.
Tính chủ động quá mức
Nội dung mô tả về rủi ro theo OWASP
Việc tích hợp các tác nhân LLM với các chức năng hoặc công cụ để thực hiện các hành động có thể gây ra rủi ro bảo mật. Các câu lệnh độc hại khai thác tính năng gọi hàm có thể dẫn đến mất dữ liệu ngoài ý muốn. Nhà phát triển có trách nhiệm triển khai các biện pháp bảo vệ (ví dụ: sự đồng ý của người dùng, xác thực, kiểm soát quyền truy cập) để ngăn chặn các hành động gây hại của AI. Tìm hiểu cách giảm thiểu rủi ro quá mức của công ty quảng cáo.
Tóm tắt
Để bảo mật các hệ thống AI tạo sinh, bạn cần áp dụng một phương pháp đa diện, mở rộng các biện pháp an ninh mạng truyền thống để giải quyết những thách thức riêng biệt do các mô hình AI đặt ra, chẳng hạn như vòng đời phát triển và các hoạt động tương tác với người dùng và hệ thống. Nỗ lực toàn diện này bao gồm việc chủ động kiểm thử, liên tục giám sát, quản trị mạnh mẽ và tuân thủ các khung pháp lý đang phát triển. Một cách hiệu quả để áp dụng những nguyên tắc này là sử dụng các công cụ trong ngành như Biểu mẫu tự đánh giá rủi ro SAIF để hiểu rõ hơn và giảm thiểu rủi ro.