Trifecta Mematikan - Lethal Trifecta

Komentar Hacker News

• Jika LLM membaca bahkan satu bidang pun yang dapat dikendalikan oleh entitas X, maka agen yang memanggil LLM itu secara default harus dianggap berada di bawah kontrol X; jika tidak dapat dibantah, demikianlah yang harus diasumsikan. Izin agen pun sebaiknya dibatasi pada irisan antara izin X dan izin pemanggil saat ini.
  Jika membaca tiket dukungan dari pengguna anonim, jangan izinkan LLM melakukan tindakan yang tidak diizinkan untuk pengguna anonim itu.
  Jika membaca email beberapa pengguna sekaligus, hanya tindakan yang diizinkan untuk semua pengguna yang boleh diizinkan.
  Jika ingin pendekatan yang lebih fleksibel, ia menyarankan desain arsitektur untuk memecah, mendelegasikan, dan memfilter agen.
  Sub-agen membaca data lalu membuat daftar terstruktur dari permintaan informasi atau tindakan yang diminta, dan sub-agen ini sebaiknya dianggap sebagai wakil dari pengguna yang menyerahkan data.
  Filter tanpa AI harus memastikan semua permintaan yang tidak memiliki otorisasi ditolak, dan ditekankan bahwa tidak ada data yang bisa menjadi instruksi yang boleh lolos tanpa melewati filter.
  Data yang masuk lewat filter ini harus sangat terstruktur; misalnya, jika peminta meminta daftar informasi, filter wajib memverifikasi aturan kontrol akses.
  Pada akhirnya, agen utama harus beroperasi hanya berdasarkan permintaan yang sudah difilter, dan interaksi dengan luar harus sepenuhnya berpatokan pada data yang sudah melewati filter.
  Pada akhirnya, ini berarti model agen kembali ke konsep awal agen: perwakilan yang bernegosiasi antar beberapa entitas.
  Yang penting di sini adalah menerima bahwa negosiasi ini tidak boleh menyertakan pertukaran bahasa alami yang sembarangan.

  • Ia merasa ini menjelaskan sudut pandang di atas dengan tepat dan menangkap inti masalah.

  • Ia menyebut setuju dengan semua bagian.
    Namun, bagaimana seharusnya memikirkan titik di mana rahasia perusahaan berpotensi bocor dari data pra-latihan LLM tanpa input eksternal sekalipun, meski sangat jarang terjadi?
    Ia merasa untuk vektor serangan seperti itu sulit membuktikan bahwa data pelatihan aman bahkan jika LLM dilatih sendiri, sehingga ia mengusulkan bahwa pemrosesan data sensitif seharusnya hanya dilakukan di lingkungan yang sepenuhnya terisolasi dari luar.
    Akhirnya, LLM yang menangani data publik dan LLM yang menangani data sensitif harus dioperasikan terisolasi masing-masing dalam container, dan ia penasaran apakah menghubungkan dua lingkungan ini harus sepenuhnya dikendalikan manusia ataukah ada cara yang aman secara matematis.

  • Ia juga mengusulkan secara singkat perlunya konsep taintllm (catatan: taint tracking adalah teknik keamanan untuk melacak aliran data yang tidak tepercaya).

  • Ia mengatakan bahwa membuat sub-agen membaca data dan memetakan permintaan akhirnya cuma membuat penyerang fokus belajar cara keluar.
    Cara ini mirip dengan pelarian dari VM atau jail, dan sejak awal sub-agen menangani data yang tidak dapat dipercaya, outputnya pun tak bisa dipercaya.
    Ia mengkritik karena akhirnya data yang tidak dipercaya ini disalurkan ke AI tingkat atas.
    Ia menambahkan dengan cerdas bahwa membaca novel fiksi ilmiah distopia karya Neal Asher mungkin membantu mempersiapkan diri menghadapi dunia seperti ini.

• Ini tepatnya yang disebut "masalah confused deputy".
  Model keamanan berbasis capability telah lama diusulkan sebagai alternatif, tetapi dalam praktik hampir tidak dipakai, ia catat.
  Karena input pengguna tidak terpercaya tidak bisa dihapus, sistem tidak boleh menyimpan dua fungsi sekaligus: "data pribadi" dan "komunikasi publik".
  Harus ditinggalkan harapan bahwa filter pintar seperti penyaring niat yang hanya "memasukkan permintaan yang masuk akal" akan membuat aman. Realitanya, sekalipun begitu, struktur sistem tetap membuat orang terus saja mengklaim akan membuat filter seperti itu karena alasan politik dan pasar.
  Ia menyediakan tautan penjelasan masalah confused deputy dan keamanan berbasis capability.
  Confused Deputy Problem, Capability-based Security

• Ia menilai bahwa pendekatan masalah ini dari prinsip-prinsip inti sangat bagus.
  Sebagian besar penjelasan tentang serangan injeksi justru membuat kita terjebak pada solusi tambalan sementara yang tidak lengkap.
  Seperti yang disajikan di sini, ia berpikir kondisi di mana "prinsip lethal trifecta" pecah adalah masalah yang secara mendasar tak bisa diperbaiki; jika dibobol, pada akhirnya risiko minimum yang tersisa setelah analisis dan mitigasi harus diterima.

• Ia mengatakan masih terus memperbaiki masalah injeksi perintah SQL dan database pada API yang dibuat oleh pengembang pemula serta vibe coder.
  Perlindungan ITT/TTI, TTS/STT (mungkin konversi input→teks dan teks→suara) terasa sangat merepotkan, dan ia merasa belum ada sistem keamanan menyeluruh untuk vektor-vektor ini.

  • Ia mengusulkan membuat prompt untuk mendeteksi SQL injection per model source code, atau membuat prompt untuk menemukan isu keamanan lain.

• Sebagai ide yang dipikirkannya belakangan ini, ia menjelaskan bahwa jika vektor terkait instruction following dikendalikan dan vektor tersebut ditekan saat data tidak tepercaya disuntikkan, maka LLM bisa memahami informasi tetapi tidak mengeksekusi tindakan secara langsung.
  Keputusan apakah penekanan ini diaktifkan bisa juga ditentukan preprocessor dengan menganalisis delimiter seperti kutip, dan cara yang lebih pasti adalah memakai struktur seperti prepared statement dengan placeholder.
  Jika ini bekerja dengan baik, ia berpikir bahwa meski AI tetap terekspos data yang tidak tepercaya, eksekusi berbahaya dari data itu tetap bisa dicegah.

• Ia bertanya mengapa layanan seperti Perplexity Comet dan Dia terlihat bebas dari masalah kebocoran data seperti ini, sembari menyoroti bahwa mereka tampak melanggar prinsip lethal trifecta dengan menggabungkan riwayat browser, data web, dan LLM.

  • Mungkin belum ada yang secara jelas menyerang mereka.
    Serangan mungkin memang sudah dicoba, tetapi pengguna tidak punya cara untuk mengetahuinya, dan jika tidak memantau misalnya permintaan gambar 1x1 piksel atau lalu lintas jaringan yang mencurigakan, akan sulit untuk memastikannya.

  • Dia menyatakan, berdasarkan pembaruan terakhir, bahwa strukturnya tidak rentan terhadap metode kebocoran data semacam ini, dan detailnya mungkin dilindungi NDA.
    Ia menambahkan bahwa ini adalah pandangannya pribadi.

• Ia merasa menyusun ringkasan presentasi ini membutuhkan usaha besar, tetapi sangat menghargainya karena rekaman semacam ini bernilai lebih lama daripada tautan video.

  • Ia membagikan alat yang dapat merangkum presentasi 15 menit menjadi dokumen dalam 90 menit, dan tautan ke alat itu:
    Pengantar alat annotated-presentations, Tautan penggunaan alat

• Ia mengatakan bahwa pada toolkit MCP server/agent yang populer, masalah trifecta mematikan muncul jauh lebih sering daripada yang diperkirakan.
  Untuk yang tertarik dengan latihan pemodelan ancaman, ia bilang bahwa ada alat bernama mcp-scan yang mendukung analisis skenario terkait.
  Analisis aliran toksik (toxic flow analysis) dan
  mcp-scan

• Ia memperkirakan isu ini akan menjadi pemicu meningkatnya adopsi OS yang mengadopsi keamanan berbasis capability.
  Jika pada runtime diminta whitelist per aplikasi, menurutnya ini bisa menjadi langkah keamanan hampir sempurna pada tingkat saat ini.

  • Dari sumber tepercaya, ia bertanya dari sisi kegunaan apakah memasang OS berbasis capability lewat media boot, kemudian sebagian besar aplikasi berjalan normal dan pengalaman GUI langsung tersedia.

  • Ia menyuarakan kekhawatiran bahwa jika kita hanya memakai alat kenyamanan seperti audit2allow (alat manajemen izin otomatis untuk SELinux) tanpa benar-benar menetapkan least privilege, permukaan serangan malah melebar. audit2allow

  • Bentuk keamanan semacam ini juga baik, tetapi jika kemampuan yang diperlukan tumpang tindih dengan tindakan berbahaya atau penipuan, maka tidak semua risiko dapat dicegah.

  • Ia bertanya apakah ada yang pernah merekam langsung atau benar-benar memakai sistem berbasis capability.
    Dari sudut pandang manusia, ia merasa sistem seperti itu nyaris seperti mimpi buruk; di OS modern saja kita sudah kebal terhadap permintaan eskalasi hak berulang seperti "masukkan kata sandi admin", dan karena itu mulai tidak peka lagi.
    Ia menyebut repetisi pop-up yang meminta program meminta izin tertentu, lalu kalau ditolak aplikasi tidak berjalan sebagai hal yang menyebalkan.
    Pelacakan lokasi situs web dan persetujuan cookie juga dianggap lanjutan masalah ini, dengan contoh situs yang memperlihatkan langit yang dapat mengenali lokasinya dari IP.
    Ia mempertanyakan apakah instalasi Mac IDE juga membutuhkan izin admin, dan meskipun sistem berbasis capability secara teori tampak bagus, ia khawatir tentang kegunaannya di praktik.

  • Ia menyampaikan dengan sopan bahwa ia sulit menyetujui optimisme semacam itu