RSS DEV 커뮤니티
팔로우
AI를 사용하되 당신의 비밀을 누설하지 않기: AI 지원 개발을 위한 위협 모델
AI 프롬프트에 비밀 정보를 붙여넣는 것은 영구적인 노출 가능성이 있는 로그 및 학습 데이터에 공개적으로 공유하는 것과 같습니다. 저자는 캐주얼한 접근 방식이 아닌 AI 사용에 대한 위협 모델 접근 방식을 강조합니다. 프롬프트는 제출 시 비공개 대화로 유지되지 않습니다. 무료 AI 등급은 종종 모델 개선을 위해 데이터를 유지하는 반면, 유료 등급은 계약상의 보증을 제공하지만 절대적인 보안을 제공하지는 않습니다. 데이터 유출은 붙여넣은 내용, 도구가 자동으로 첨부하는 내용 또는 모델이 출력하는 내용에서 발생할 수 있습니다. AI 제공업체는 감사하기 불가능한 신뢰할 수 있지만 검증할 수 없는 제3자로 간주됩니다. 위험 자산에는 API 키, 데이터베이스 자격 증명 및 민감한 고객 정보가 포함됩니다. 프롬프트 채널은 프로덕션 네트워크 호출과 유사하게 신뢰할 수 없는 나가는 통신으로 취급해야 합니다. 보내지 말아야 할 목록에는 실시간 자격 증명, 민감한 구성 파일 및 독점 소스 코드가 포함됩니다. 자리 표시자로 비밀 정보를 마스킹하는 것은 보내지 않는 것에 대한 실행 가능한 대안입니다. 컨텍스트 위생은 무시 파일 및 사전 프롬프트 스캔을 통한 유출의 구조적 방지를 포함합니다. 소스에서 비밀 정보를 암호화된 상태로 유지하는 원칙은 일반 텍스트 노출을 방지합니다. 데이터 민감도를 AI 등급과 일치시키는 것, 즉 독점 작업에는 유료 등급을 사용하고 규제 데이터에는 로컬 모델을 사용하는 것이 권장됩니다. 교육 금지 보증이 있더라도 제로 트러스트 입장을 권장하며, 컨텍스트를 최소화하고 AI 출력을 확인합니다. AI 무시 파일 사용, 비밀 정보 스캔 및 자격 증명 마스킹과 같은 습관은 상당한 시간 비용 없이 보안을 개선합니다.
