OWASP ha rilasciato il progetto OWASP Top 10 for LLM (Large Language Model Applications), che fornisce un elenco delle 10 vulnerabilità più critiche riscontrate nelle applicazioni LLM, evidenziandone il potenziale impatto, la facilità di sfruttamento e la prevalenza nelle applicazioni del mondo reale.
Il progetto mira a educare sviluppatori, designer, architetti, manager e organizzazioni sui potenziali rischi per la sicurezza durante l’implementazione e la gestione di Large Language Models (LLM).
L’obiettivo è aumentare la consapevolezza di queste vulnerabilità, suggerire strategie di correzione e migliorare la postura di sicurezza delle applicazioni LLM.
Gli esperti specificano che il pubblico principale del lavoro sono gli sviluppatori e gli esperti di sicurezza che progettano applicazioni utilizzando le tecnologie LLM, fornendo loro una guida alla sicurezza per creare applicazioni che includano LLM, garantendone un’implementazione sicura e solida, e che possano essere utilizzate in modo sicuro e protetto da un’ampia gamma di entità, da individui e aziende a governi e altre organizzazioni. Tuttavia, il progetto potrebbe interessare altre parti interessate nell’ecosistema LLM, inclusi studiosi, professionisti legali, responsabili della conformità e utenti finali.
Data la natura delle applicazioni che sfruttano gli LLM, le vulnerabilità documentate potrebbero essere più ampie di quelle viste nei precedenti elenchi Top 10. Nel documentare i tipi di vulnerabilità vengono esplorate le vulnerabilità LLM che assomigliano ai tipi di vulnerabilità in altri elenchi OWASP Top 10, espandendo le implicazioni specifiche di queste vulnerabilità per le applicazioni che sfruttano gli LLM.
Mirando a colmare il divario tra i principi generali di sicurezza delle applicazioni e le sfide specifiche poste dall’utilizzo di LLM nelle applicazioni, il gruppo di lavoro esplora in che modo le vulnerabilità convenzionali possono comportare rischi diversi, come potrebbero essere sfruttate in modi nuovi o come le strategie di correzione tradizionali devono essere adattate per le applicazioni che utilizzano LLM.
“Il gruppo di lavoro OWASP Top 10 for LLM Applications si è dedicato allo sviluppo di un elenco Top 10 di vulnerabilità specificamente applicabili alle applicazioni che sfruttano i Large Language Models (LLM)”. “Questa iniziativa è in linea con gli obiettivi più ampi della Fondazione OWASP per promuovere un cyberspazio più sicuro ed è in linea con l’intenzione generale alla base di tutte le prime 10 liste OWASP”, si legge nell’annuncio.
“La natura delle applicazioni che sfruttano gli LLM richiede un’esplorazione specifica e completa delle vulnerabilità LLM. Il gruppo di lavoro OWASP Top 10 for LLM Applications si impegna a far luce su questi problemi e a fornire soluzioni pratiche agli sviluppatori”. “Invitiamo coloro che condividono i nostri obiettivi a unirsi a noi per rendere l’uso degli LLM nelle applicazioni più sicuro e protetto per tutti”, conclude l’annuncio.
La Top Ten è il risultato del lavoro di quasi 500 specialisti della sicurezza, ricercatori di intelligenza artificiale, sviluppatori, leader del settore e accademici. Oltre 130 di questi esperti hanno contribuito attivamente a questa guida.
L’organizzazione invita esperti a unirsi a essa e fornire supporto al progetto.
Attualmente puoi scaricare la versione 1.0 in due formati. Il PDF completo e il formato della slide abbreviato.
https://github.com/OWASP/www-project-top-10-for-large-language-model-applications/wiki/Charter
https://securityaffairs.com/149124/security/owasp-top-10-for-llm.html