🔏

ホワイトハッカーご用達!Burp Suite!

に公開
Security
Burp Suite
Payload
portswigger
llmattack
idea

前書き

日曜日にPortSwigger社のBurp SuiteとWeb security academyのセキュリティ勉強会参加した。Burp Suiteには、いろんな機能入ってて面白い!

1. どんなもの?

  • Burp Suite 機能盛りだくさん。IPアドレスを総当たりできたり、ペイロード(セキュリティ破る重要な部分)リストから総当たりとかで楽に脆弱性検査できる!無料版あり。
  • Web security academy 無料のオンライン学習プラットフォーム、いろんな学習がLabとして用意されていて、実習もBurp Suite使ってできる。
  • Lab の中には、すでにLLMAttackというのもあり、AI時代に対応している。

2. LLM security

  • 急に思ったのだけど、今会社でAIシステムをwebで公開していると思うが、基本的なRAGのQAとかから例えばメールシステムとかファイルシステムとも連携しだして、ユーザー権限でセキュリティ管理している場合に、外部の人か内部の人が、PDFとかに透明な文字で悪意ある指示入れといて、ある立場の人がそのPDF情報をAIに処理させると、機密情報がメールで飛ぶとかありそうとか思った。
  • ファイルを新規に作れるとかだとそこでまた透明な文字で悪意ある指示だして、権限の階段をのぼっていけそう。
  • 今ハッキング手法しらべたら、上記や学習データ汚染含めいろいろでてきた。これみた怖そうと思ったのは、ChatGPTの学習データに悪意ある行動が埋め込まれていて、それを偶然だれかが踏んだ時に実行さ。みたいなのでてきそう。
  • LLM Security今後重要だ!

3. 防御

  • ちょっとしらべたら、APIはいろいろしてそう!OSSとの比較でここも大事そう。
  • azureは企業がカスタマイズできるfilterあるみたい
  • リアルタイムにfilter更新するものとかも
  • xaiでブロックされた説明するものも

あとがき

記事よかったら、いいね♡ 押してね!

Discussion