По данным пентестов корпоративных приложений с интеграциями больших языковых моделей, разработчики устраняют лишь 38% критичных уязвимостей — показатель ниже типичной планки в безопасности приложений. Эксперт Иоан Фуртуна объяснил изданию CSO Online: команды просто не имеют готовых рецептов исправления дефектов в системах на базе LLM, в отличие от десятилетий опыта борьбы с SQL-инъекциями и XXE.
Фуртуна связывает разрыв с молодостью отраслевого свода правил. OWASP LLM Top 10 появился недавно, а большинство разработчиков, строящих поверх foundation-моделей, действуют без накопленного институционального знания о валидации входов, обработке выходов и проектировании границ авторизации — того, что давно существует для веб-приложений.
Корень проблемы — в архитектуре. LLM схлопывают границы доверия и лишены предсказуемых потоков ввода-вывода обычных систем; ситуацию усугубляют широкие разрешения, которые рутинно выдают ИИ-компонентам. Модель с доступом к внутренним инструментам, retrieval-конвейерам и внешним API представляет собой большой радиус поражения, если её обработка ввода слаба. Поверхность атаки расширяется, а границы доверия часто оказываются неявными, а не закреплёнными в коде.
В таком контексте prompt injection перестаёт быть досадной мелочью и превращается в путь к эксфильтрации данных, эскалации привилегий или компрометации цепочки поставок — в зависимости от того, до чего модель может дотянуться. Когда инженер видит классическую инъекцию, он знает плейбук; когда видит цепочку prompt injection или небезопасную границу tool call, плейбука нет, и неопределённость замораживает действия даже при ясной оценке серьёзности. Именно этот разрыв в навыках, а не сложность самих находок, объясняет, почему 62% high-risk дефектов в LLM-системах остаются незакрытыми после пентеста.
Источник: csoonline.com