LLMアプリケーションのOWASPトップ10：新機能、変更点、およびセキュリティを維持する方法

ソフトウェアの保護に積極的に取り組むには、最新の標準とコンプライアンス要件を常に把握しておく必要があります。結局のところ、サイバーセキュリティ環境は、特に新しいテクノロジーの出現に伴い、常に新しい脅威や脆弱性によって変化しています。私たちが集まって AI の変曲点に立ち、新しい進化やユースケースが日々出現しているように見える今日ほど、この傾向が当てはまることはありません。

これらの課題に対処するために、OWASP財団は最近、以下の最新版をリリースしました 大規模言語モデル (LLM) アプリケーションに関する OWASP トップ 10は、LLMやジェネレーティブAIアプリケーションを導入する際の潜在的なリスクについて、開発者、アーキテクト、その他のソフトウェア提供者に知らせることを目的としています。そして、Secure Code Warriorでは、この最新バージョンの変更と更新がすでに実装され、当社の安全なコード学習プラットフォームで利用できるようになったことを発表できることを嬉しく思います。これらの新資料や更新資料により、すべてのユーザーが LLM を利用する際のリスク軽減の最前線に立つことができます。

このアップデートでは何が新しくなったのですか？

OWASPは以前のトップ10から2つの項目を削除しました。

• 安全でないプラグイン設計 -LLMがプラグインとどのように相互作用するか、およびプラグインが外部ストレージまたはサービスとどのように相互作用するかに関するものです。
• モデル盗難 -機械学習モデルまたはAIシステムの不正複製または取得を指します。

OWASP Top 10の以前のバージョンと同様に、セキュア・コード・ウォリアーには ガイドライン 当社のLLMトップ10コースの一環としてこれらの脆弱性に関連付けられています。これらのガイドラインは、脆弱性とセキュリティ概念に関するわかりやすい情報をわかりやすく読みやすい形式で提供していましたが、その後コースのカリキュラムから削除されました。ただし、このガイドラインは、提供している他のすべての学習教材とともにExploreで引き続き利用できます。

OWASPはトップ10を公式10に維持しながら、新たに2つのアイテムを追加しました。

• システムプロンプトリーク -モデルの動作を誘導する通常は非表示のプロンプトがユーザーに公開される場合。
• ベクターと埋め込み -公開されていない特定の情報、専有情報、またはリアルタイム情報を公開する可能性があります

これらの脆弱性に関するガイドラインがLLMトップ10コースに追加されました。削除されたガイドラインと同様に、この2つはExploreでも利用でき、自分のペースで学習したいユーザー向けです。

最後に、OWASPはリスト内の既存の脆弱性カテゴリにいくつかの変更を加え、一部のカテゴリの名前をより広範または具体的に変更し、その定義を変更しました。これらのトピックに関する当社のガイドラインは、OWASPのガイダンスからの小さな変更と新しい命名規則の両方を反映するように更新されました。さらに、OWASP LLM Top 10に設定されている順序と一致するように、優先順位順のリストが更新されました。

Secure Code Warriorでは、ユーザーが常に時代の一歩先を行けるよう支援することに全力を注いでいます。OWASPの最新の更新はすでにアジャイル学習プラットフォームに反映されているため、LLMとジェネレーティブAIテクノロジーを導入する際のリスクを軽減し、最新の脆弱性をカバーする最新のトレーニング教材にユーザーが簡単にアクセスできるようにしました。新たに導入された「システムプロンプトリーク」や「ベクトルと埋め込み」の脅威に対処する場合でも、誤情報や無制限消費についての理解を深めたい場合でも、当社のプラットフォームは、セキュリティ体制を改善するためのこれらの重要な概念を習得するために必要なリソースを提供します。