Im vergangenen Jahr veröffentlichte das Open Worldwide Application Security Project (OWASP) mehrere Versionen des „OWASP Top 10 For Large Language Models“, wobei im August ein 1.0-Dokument und im Oktober ein 1.1-Dokument veröffentlicht wurde. Diese Dokumente zeigen nicht nur die sich rasch entwickelnde Natur von Large Language Models, sondern auch die sich entwickelnden Angriffs- und Verteidigungsmethoden. In diesem Artikel werden vier Punkte aus den Top 10 behandelt, die am meisten zur versehentlichen Offenlegung von Geheimnissen wie Passwörtern, API-Schlüsseln und mehr beitragen können.
GitGuardian berichtete Anfang 2023, dass über 10 Millionen Geheimnisse in öffentlichen Github-Commits gefunden wurden. Forscher der University of Hong Kong veröffentlichten im September 2023 eine Studie, in der sie einen Algorithmus erstellten, der Copilot dazu brachte, über 2.700 gültige Geheimnisse preiszugeben. Die Technik, die dabei verwendet wurde, nennt sich „prompt injection“ und ist auf Platz 1 der OWASP-Liste der Top 10 für Large Language Models.
Es wird empfohlen, Geheimnisse regelmäßig zu ändern, Daten zu bereinigen und Berechtigungen zu beschränken, um sich vor versehentlichen Offenlegungen zu schützen. Es ist wichtig, sicherzustellen, dass sensible Informationen nicht in die Hände von Personen gelangen, die keinen Zugriff darauf haben sollen. Maßnahmen wie regelmäßige Patch-Updates und das Begrenzen von Privilegien sind entscheidend, um die Sicherheit zu gewährleisten.
Letztendlich sollten Large Language Models mit Vorsicht verwendet werden, da sie potenziell vertrauliche Informationen preisgeben können. Es wird empfohlen, geeignete Sicherheitsvorkehrungen zu treffen und die Nutzung dieser Technologie sorgfältig zu überwachen.