มิติใหม่ของ ‘ไฟร์วอลล์’ (1)
LLMs ก่อให้เกิดช่องโหว่ที่อาจถูกนำมาใช้ประโยชน์ได้
การพัฒนา ไฟร์วอลล์ (Firewall) ให้สามารถรองรับการใช้งาน AI คือการเพิ่มขีดความสามารถในการป้องกันความปลอดภัยร่วมกับโมเดลภาษา LLMs (Large Language Models) เพื่อช่วยระบุในกรณีที่มีการใช้งานที่ผิดก่อนที่คำขอนั้นจะไปถึงโมเดลได้
Firewall ที่รองรับ AI คือระบบป้องกันเว็บแอพพลิเคชัน (Web Application Firewall WAF) ขั้นสูง ที่ออกแบบมาโดยเฉพาะสำหรับแอพพลิเคชันที่ใช้งาน LLMs ประกอบด้วยชุดเครื่องมือที่สามารถติดตั้งไว้ที่ตัวแอพพลิเคชันเพื่อช่วยตรวจจับช่องโหว่และให้การมองเห็นภาพรวมกับเจ้าของโมเดล เครื่องมือนี้จะรวมฟีเจอร์ที่มีอยู่แล้วใน WAF
เช่น ระบบจำกัดอัตราการเข้าถึงและระบบตรวจจับข้อมูลสำคัญพร้อมกับระดับการป้องกันใหม่ที่กำลังอยู่ระหว่างการพัฒนา การตรวจสอบใหม่นี้จะวิเคราะห์ prompt ที่ผู้ใช้ส่งเข้ามาเพื่อระบุความพยายามในการโจมตีหรือการใช้งานโมเดลในทางที่ผิด เช่น การดึงข้อมูลออกจากโมเดลและใช้ประโยชน์จากเครือข่ายที่มีขนาดใหญ่
ทำให้ Firewall ที่รองรับ AI สามารถทำงานใกล้กับผู้ใช้งานมากที่สุด เพื่อระบุการโจมตีได้ตั้งแต่เนิ่นๆ และช่วยปกป้องทั้งผู้ใช้งานและตัวโมเดลจากการละเมิด
แม้ว่าโมเดล AI จะได้รับความนิยมเพิ่มขึ้นอย่างต่อเนื่อง แต่ลูกค้าจำนวนไม่น้อยยังมีความกังวลเกี่ยวกับการปกป้อง LLMs เพราะการนำ LLMs มาใช้เป็นส่วนหนึ่งของแอพพลิเคชันที่เชื่อมต่ออินเทอร์เน็ต ก่อให้เกิดช่องโหว่ที่อาจถูกนำมาใช้ประโยชน์ได้
เนื่องจากบางช่องโหว่ที่เคยมีผลต่อแอพพลิเคชันเว็บไซต์และ API แบบเดิมก็ยังมีผลต่อ LLM เหมือนกัน เช่น การฝังคำสั่งหรือการดึงข้อมูลออกจากระบบ อย่างไรก็ตาม ยังมีภัยคุกคามใหม่ๆ ที่เกี่ยวข้องโดยตรงกับรูปแบบการทำงานของ LLMs เช่น มีการค้นพบช่องโหว่ในแพลตฟอร์มที่เชื่อมต่อทางด้าน AI เพื่อเปิดทางให้สามารถเข้ายึดโมเดลและดำเนินการใดๆ โดยไม่ได้รับอนุญาตได้
หากพิจารณาถึงความแตกต่างระหว่าง LLMs และแอพพลิเคชันแบบเดิม จะพบ 2 ข้อหลักๆ คือ
1. วิธีที่ผู้ใช้งานโต้ตอบกับแอพพลิเคชัน - App แบบเดิมมักมีลักษณะ กำหนดแน่นอน อย่าง App ธนาคารที่มีการกำหนดชุดการดำเนินการที่ชัดเจนไว้แล้ว (ตรวจสอบยอดเงินและโอนเงิน) ความปลอดภัยของการดำเนินการรวมถึงข้อมูลสามารถควบคุมได้ผ่านการอนุญาตให้ใช้เฉพาะคำสั่งที่เจาะจง
เช่น GET /balance หรือ POST /transfer แต่การทำงานของ LLMs ถูกออกแบบมาให้ ไม่กำหนดแน่นอน โดยการโต้ตอบกับ LLM มักใช้ภาษาทั่วไป ทำให้การระบุคำขอที่อาจเป็นอันตรายทำได้ยากกว่าการดักจับการโจมตี อีกทั้ง หากไม่มีการแคชคำตอบไว้ LLMs ก็มักจะตอบไม่เหมือนเดิมในทุกครั้งที่มีการโต้ตอบกัน
แม้จะได้รับ prompt ที่เหมือนกันก็ตาม สิ่งนี้ทำให้การควบคุมวิธีที่ผู้ใช้โต้ตอบกับ App เป็นเรื่องยาก และก่อให้เกิดความเสี่ยงต่อผู้ใช้งาน เช่น การได้รับข้อมูลที่คลาดเคลื่อนซึ่งจะลดความน่าเชื่อถือของโมเดล
2. ความแตกต่างของระบบควบคุมแอพพลิเคชันโต้ตอบกับข้อมูล ใน App แบบเดิม ระบบควบคุมจะแยกออกจากฐานข้อมูลอย่างชัดเจน มีเพียงการดำเนินการที่กำหนดไว้เท่านั้นที่สามารถเข้าถึงข้อมูลได้ เช่น "แสดงประวัติการทำธุรกรรมของฉัน"
สิ่งนี้เปิดโอกาสให้ผู้ดูแลระบบสามารถเพิ่มการตรวจสอบและมาตรการความปลอดภัยที่ระบบควบคุมเพื่อป้องกันฐานข้อมูลทางอ้อม แต่ LLMs นั้นจะแตกต่างออกไป เนื่องจากข้อมูลที่ใช้ฝึกจะกลายเป็นส่วนหนึ่งของตัวโมเดลโดยตรงในกระบวนการเทรนนิ่งซึ่งทำให้การควบคุมการใช้งานของข้อมูลที่ได้จาก prompt เป็นเรื่องที่แทบเป็นไปไม่ได้เลย
แม้จะมีแนวคิดที่เสนอให้แยก LLMs กับข้อมูลออกจากกัน แต่ก็ยังไม่มีวิธีที่สามารถแก้ไขปัญหานี้ได้อย่างสมบูรณ์ครับ
สัปดาห์หน้าเราจะมาติดตามเรื่องนี้กันต่อในตอนที่ 2 กันนะครับ...
สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget
ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 12 พฤษภาคม 2568)
https://www.bangkokbiznews.com/blogs/tech/gadget/1179985
