探秘Agentic AI之路：暴露的RAG组件安全风险

报告要点

检索增强生成（RAG）使企业能够基于私有数据构建定制化、高效且成本效益高的应用程序。然而，研究揭示了重大安全风险，如暴露的向量存储和LLM托管平台，如果未得到适当保护，可能导致数据泄露、未授权访问和潜在的系统操纵。

数据验证错误和拒绝服务攻击等安全问题在RAG组件中普遍存在。这因其快速开发周期而变得更加复杂，使得跟踪和解决漏洞具有挑战性。

研究发现了80个暴露的llama.cpp服务器，其中57个缺乏身份验证。暴露的服务器集中在美国，其次是中国、德国和法国，反映了全球采用但安全实践水平不一的情况。

除了身份验证，企业还必须实施TLS加密并强制执行零信任网络，以确保生成式AI系统及其组件免受未授权访问和操纵。

“快速行动，打破陈规"似乎是当前AI领域的座右铭。自2022年ChatGPT推出以来，似乎每个人都在追赶这波潮流。虽然某些领域的人们乐于使用OpenAI的产品，但许多企业有特殊需求。

RAG需要几个关键组件来运行：文本块数据库和检索方式。通常使用向量存储来保存文本和一系列数字，帮助我们找到最相关的文本块。通过这些和适当的提示，我们通常可以基于私有数据源回答问题或撰写新文本。

llama.cpp用于托管单个LLM模型，是一个REST服务。我们发现80个暴露的服务器，其中57个似乎没有任何形式的身份验证。托管在llama.cpp服务器上的模型主要是Llama 3衍生模型，其次是Mistral模型。

与llama.cpp不同，Ollama可以同时托管多个模型。我们发现超过3000个完全开放的服务器，仅8个服务器需要身份验证。这些服务器上托管了惊人的15000个模型，其中大多数基于流行的Llama 3模型。

我们能够验证大约240个在互联网上公开运行的ChromaDB实例。只有约40个服务器需要身份验证。缺乏身份验证会带来严重后果，攻击者可以读取服务器上存储的文档。

我们发现超过70个服务器可以在没有身份验证的情况下访问，还有40多个需要身份验证。大多数安装版本都是较新的版本。

任何系统都不应该在至少没有身份验证的情况下暴露。强烈建议采取其他安全预防措施，如TLS加密和零信任网络模型。

暴露LLM的危害取决于模型微调的专有程度。托管和暴露另一个Llama 3模型并不是特别有问题，除了提供公共服务的成本。但是，如果为特定业务相关应用程序微调模型付出了努力，则应尽一切努力保护它，因为这是企业知识产权的一部分。

暴露的向量存储问题更为严重。这些不仅泄露数据，更糟糕的是，可能导致恶意行为者改变使用数据的应用程序的性质。

组织可以利用AI进行业务和安全操作，同时防御其对抗性使用。组织可以受益于Trend Vision One™ - 零信任安全访问（ZTSA）等解决方案，在访问私有和公共GenAI服务时可以通过零信任原则强制执行访问控制。

ZTSA - AI服务访问解决方案可以控制AI使用，通过识别、过滤和分析AI内容来检查GenAI提示和响应内容，避免在公共和私有云服务中潜在敏感数据泄露或不安全输出。

通过主动实施这些措施，企业可以在使用GenAI进行创新的同时保护其知识产权、数据和操作。随着AI未来的发展，保护这些基础将确保其负责任和有效的使用。