Secure LLM

LLM02 Sensitive Information Disclosure (機密情報の開示)

機密情報はLLMやアプリケーションに影響を与え、プライバシー侵害や知的財産侵害のリスクがあります。個人情報や機密ビジネスデータがモデル出力に含まれる可能性があり、不正アクセスを招く恐れもあります。リスク軽減にはデータのサニタイズや明確な使用条件ポリシー、機密情報の制限をシステムに組み込む必要がありますが、プロンプトインジェクションで回避される可能性もあります。

LLM03 Supply Chain (サプライチェーン)

LLMのサプライチェーンリスクは、モデルの訓練データやアルゴリズム、依存する外部サービスが不正や脆弱性により攻撃を受ける可能性を指します。不正なデータや改ざんされたコードにより、モデルが誤学習や不正動作を引き起こす危険性があります。

データポイズニングは、LLMの訓練データや微調整段階で改ざんが行われ、モデルに脆弱性やバイアス、バックドアが導入されるリスクを指します。これにより、モデル性能の低下や有害な出力が生じ、外部データソースやオープンソースモデルでは特に危険です。さらに、隠れたバックドアやマルウェアが埋め込まれる可能性もあり、モデルが予期せぬ動作をするリスクが高まります。

LLM05 Improper Output Handling (不適切な出力処理)

不適切な出力処理は、LLMの生成した出力が十分に検証やサニタイズされず、下流システムでセキュリティリスクを引き起こす問題です。この脆弱性により、XSS、CSRF、SSRF、権限昇格、リモートコード実行などが発生する可能性があり、出力内容の適切な処理が重要です。

LLM06 Excessive Agency (過剰な代理権)

LLMベースのシステムは拡張機能を通じて他のシステムと連携し、プロンプトに応じたアクションを実行します。これを管理するエージェントは動的に決定を行い、出力を基に繰り返し呼び出しを行います。しかし、過剰なエージェンシーにより、予期しない出力や操作された結果が有害なアクションを引き起こす脆弱性が生じる可能性があります。

LLM07 System Prompt Leakage (システムプロンプトの漏洩)

LLMのシステムプロンプト漏洩は、モデル動作を誘導するプロンプトに意図せず機密情報が含まれ、攻撃に利用されるリスクを指します。プロンプト内に資格情報や接続文字列などを含めるべきではなく、システムガードレールや権限分離の欠如が根本的なセキュリティリスクとなります。攻撃者はモデルの反応を観察することでプロンプトの制約を推測し、悪用する可能性があります。

LLM08 Vector and Embedding Weaknesses (ベクトルと埋め込みの弱点)

ベクトルと埋め込みの脆弱性は、LLMを用いた検索拡張生成（RAG）システムにおいて重大なリスクをもたらします。これらの弱点を悪用すると、有害なコンテンツの挿入、モデル出力の操作、機密情報への不正アクセスが可能となります。RAGは外部知識ソースを活用し、応答の精度と関連性を向上させますが、ベクトルや埋め込みの管理が重要です。

LLM09 Misinformation (誤情報)

LLMの誤情報は、信頼性があるように見える誤った情報を生成し、セキュリティ侵害や評判の失墜、法的責任を引き起こす可能性があります。主な原因は幻覚で、モデルが根拠のない内容を生成する現象です。さらに、トレーニングデータのバイアスや不完全性も誤情報の要因となります。また、LLM出力を過度に信頼し精査しない「過度の依存」により、誤情報が重要な決定に組み込まれるリスクが高まります。

LLM10 Unbounded Consumption (無限の消費)

無制限の消費は、LLMが過度に推論を実行されることで、サービス拒否（DoS）、経済的損失、モデルの盗難などのリスクを引き起こす現象です。特にクラウド環境では、計算リソースの悪用や不正使用が問題となり、サービスや財務リソースの低下につながる可能性があります。