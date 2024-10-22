組織は、生成AIを活用したプロジェクトの全く新しいパイプラインを構築しています。データの収集と処理の段階では、モデルに入力するために膨大な量のデータを収集する必要があり、データサイエンティスト、エンジニア、開発者など、さまざまな人々がアクセスできるようにする必要があります。すべてのデータを 1 か所に集中させ、多くのユーザーがアクセスできるようにすることには、本質的にリスクが伴います。つまり、生成AIは、既存の組織データに基づいて新しいデータを作成できる新しいタイプのデータ・ストアであることを意味します。モデルのトレーニング、ファイン・チューニング、またはRAG（ベクトルDB）への接続のいずれであっても、そのデータにはPII、プライバシーに関する懸念、その他の機密情報が含まれている可能性があります。この大量の機密データの存在は、まるで赤色に点滅していて攻撃者にアクセスしてくれと言っているようなものです。

モデル開発では、全く新しい方法で、新しいアプリケーションが構築されますが、攻撃者が悪用しようとする新たなエントリー・ポイントとなる脆弱性も持ち合わせることになります。開発は、多くの場合、データサイエンスチームが HuggingFace や TensorFlow Hub などのオンラインモデルリポジトリからトレーニング済みのオープンソースの機械学習モデルをダウンロードして再利用することから始まります。オープンソースのモデル共有リポジトリーは、固有のデータサイエンスの複雑さや実践者不足という問題の解消、そして生成AIの導入に必要な時間と労力を大幅に削減するという組織への価値提供の目的から生まれました。ただし、このようなリポジトリには包括的なセキュリティ制御が欠けている可能性があり、最終的にはリスクが企業に移り、攻撃者にとってはそれが狙い目になります。攻撃者が、これらのモデルの 1 つにバックドアまたはマルウェアを挿入し、感染したモデルをモデル共有リポジトリに再度アップロードすると、それをダウンロードしたすべてのユーザーが影響を受ける可能性があります。MLモデルに関するセキュリティーが一般的に不足していることと、MLモデルに投入される機密データが増えていることにより、これらのモデルを標的とした攻撃による被害の傾向が高まっています。

また、推論中および実際の使用中に、攻撃者はプロンプトを操作してガードレールを脱獄し、警戒、虚偽、その他の有害な情報を含む有害なプロンプトに対して許可されていない応答を生成することでモデルを不正な動作に誘導し、風評被害を与えることができます。あるいは、攻撃者はモデルを操作し、入力と出力のペアを分析して、ターゲット モデルの動作を模倣するサロゲート モデルをトレーニングし、その機能を効果的に「盗み」、企業の競争上の優位性を奪うことができます。