Цепочка поставок искусственного интеллекта (AI) становится одной из самых уязвимых точек в современном машинном обучении, и опасности, связанные с непроверенными или скомпрометированными компонентами, уже приобретают глобальное значение. Важно понимать, что современный искусственный интеллект не создаётся из ничего — это сложный конструкт, собранный из множества моделей, плагинов, адаптеров и обучающих данных, поступающих из самых разных источников, зачастую без должного контроля и прозрачности. Именно этот сбор фрагментов с различных репозиториев и платформ открывает двери для атак, которые могут существенно подорвать безопасность и качество конечного продукта. Организация OWASP, известная своими традициями в области обнаружения и предотвращения уязвимостей веб-приложений, теперь масштабирует свой опыт, выступая с рекомендациями по снижению рисков в цепочке поставок AI и выдвигает эту тему в число ключевых угроз современных крупных языковых моделей (LLM). Рассмотрим подробнее, какие именно меры предлагает OWASP, и каким образом они помогут обеспечить целостность и стабильность AI-систем в условиях постоянно меняющейся и часто недостаточно прозрачной экосистемы разработки искусственного интеллекта.
Важнейшим шагом в построении безопасной цепочки поставок являются меры по обеспечению видимости всех элементов, входящих в обучение и работу модели. OWASP рекомендует создание так называемого AI Bill of Materials (AI-BOM) — подробного инвентаря, где фиксируются все компоненты: модели, плагины, адаптеры, тренировочные файлы и сторонние зависимости. Такой перечень должен быть подписан и храниться с высокой степенью защищённости, регулярно обновляться, а для удобства и стандартизации использоваться форматы с открытым стандартом вроде CycloneDX. Без полного понимания состава модели ее невозможно надежно обезопасить и проконтролировать изменения. Как и в традиционном программном обеспечении, здесь крайне важна гигиена и своевременное обновление компонентов.
В мире машинного обучения уязвимости зачастую остаются незамеченными именно из-за отсутствия регулярных сканирований и устаревания модулей. OWASP направляет внимание на необходимость регулярного патчинга устаревших или уязвимых библиотек и удаления давно не поддерживаемых зависимостей. Такой подход перекликается с практиками CI/CD, которые уже давно применяются для разработки и развёртывания ПО, и применяется с целью не допустить попадания опасных элементов на продакшен. Особое внимание OWASP уделяет контролю происхождения моделей и компонентов. В мире AI часто отсутствует четкая криптографическая защита происхождения файлов, что делает невозможным достоверную верификацию авторства и целостности.
Для защиты от подделки рекомендуется применять цифровую подпись файлов, проверку хешей и верификацию издателя. При скачивании моделей или весов, например с популярных площадок вроде Hugging Face, важно отдавать предпочтение репозиториям, поддерживаемым проверенными организациями или разработчиками, а не полагаться на личные форки или анонимные загрузки с неполной метаинформацией, которые могут стать источником цепочек компрометации. Отдельно OWASP выделяет угрозы, связанные с лоунг и тонконастроечными файлами, известными как LoRA адаптеры. Эта технология позволяет легализованно настраивать большие модели под конкретные задачи, например, для автоматического суммирования документов или выявления мошенничества. Их небольшие размеры и простота интеграции зачастую оказываются двуострым мечом — они могут быть скомпрометированы или содержать вредоносный код и при этом незаметно встроены в рабочую модель.
Поэтому рекомендуется их тщательный анализ, применение адверсариального тестирования (метод проверки устойчивости модели к атакам) и использование защищённых репозиториев с обязательной подписью. Современное сообщество безопасности исследует новые методы автоматизации тестирования моделей, например, красные команды (red teaming), которые имитируют поведение злоумышленников, чтобы своевременно выявить даже тонкие отклонения в работе модели — когда она начинает выдавать неточные или вредоносные ответы из-за вредоносного или ошибочного адаптера, загруженного во время эксплуатации. Продвигаясь дальше, OWASP акцентирует внимание на необходимости сканирования всего контента, который вводится на стадии разработки. В таких платформах, как GitHub или общие хранилища Hugging Face, нужно автоматически проверять и анализировать каждый pull request до его включения в основной дерево разработки. Это функционирует как своего рода пропускной пункт безопасности, где системные инструменты, например SF_Convertbot Scanner, анализируют весовые файлы в формате safetensors — более безопасный и статичный формат хранения моделей, который не позволяет запускать произвольный код при загрузке, в отличие от устаревших форматов вроде PyTorch pickle.
Таким образом, потенциально опасные адаптеры или модели блокируются до ручной проверки сотрудниками безопасности, что создаёт дополнительный барьер для злоумышленников и способствует формированию прозрачного журнала событий для последующего анализа. OWASP не ограничивается только этапом разработки и развёртывания моделей. Проблемы безопасности переходят и на стадию эксплуатации, особенно если речь идёт о встроенных AI в мобильных приложениях, IoT-устройствах или условиях Bring Your Own Device (BYOD). Здесь растёт риск локального вмешательства и изменения модели прямо на устройстве пользователя. Рекомендации OWASP включают шифрование моделей в состоянии покоя, проверку подписей прошивки и применение механизмов завершения работы при обнаружении несанкционированных изменений.
Говоря простыми словами, модель должна быть «заперта» и «привязана» к защищённому оборудованию, а при попытках взлома — отключаться, чтобы предотвратить злонамеренное вмешательство. Дополнительно актуальна тема управления рисками, связанными с поставщиками. Компании, предоставляющие адаптеры, плагины, услуги обучения или инфраструктуру, представляют отдельную зону потенциальных угроз. Для контроля необходимо использовать автоматизированные системы мониторинга изменения лицензий, условий доступа и прочих параметров, что позволит выявлять неожиданные изменения или риски ещё до того, как они смогут повлиять на бизнес-процессы. Все описанные меры призваны реагировать на реальные угрозы и случаи, которые уже происходили в индустрии.
Например, атака PoisonGPT показала, что даже манипулированные модели, успешно проходящие тесты, могут выдавать ложную и вводящую в заблуждение информацию. Инцидент ShadowRay выявил уязвимости в открытых AI-оркестраторах, которые при отсутствии защиты используются для кражи учётных данных и распространения атак внутри сетей. Также пример LeftoverLocals продемонстрировал возможность утечки данных из памяти GPU в условиях совместного использования ресурсов. Важно отметить, что многие из этих угроз не связаны с классическими способами атаки, такими как ввод специальных запросов или попытки «джейлбрейка» моделей, а основываются именно на пробелах в управлении цепочкой поставок и недооценке рисков при взаимодействии с внешними компонентами. Итоговая идея OWASP сводится не к требованию безупречности, а к призыву застраховать процессы через прозрачность, ответственность и систематический контроль.
Простые на первый взгляд действия — формирование AI-BOM, проверка цифровых подписей, регулярное сканирование и аудит изменений — вместе создают возможность видеть всю картину, отслеживать изменение компонентов и обеспечивать уверенность в безопасности даже до того, как пользователи начнут взаимодействовать с моделью. На современном этапе развития AI-индустрии уже доступны слушатели и инструменты, позволяющие разработчикам самим стать двигателями изменений в сторону безопасного и надёжного искусственного интеллекта. Остаётся лишь сделать следующий шаг и начать применять рекомендации OWASP на практике, чтобы пересечь порог сегодняшних рисков и построить более устойчивое, защищённое будущее AI-технологий.
![Unix, Plan 9, and the lurking Smalltalk [pdf]](/images/602BDC05-6834-402B-B981-1E5679B3C84D)
