Cloud ได้ประกาศเปิดตัวความสามารถใหม่ของ Firewall ที่ถูกออกแบบมาให้รองรับบริการ AI สมัยใหม่ อย่างโมเดล LLM ได้ เนื่องจากแนวคิดแบบเดิมที่มีมาไม่สามารถตอบโจทย์ได้ทั้งหมด
เหตุใด LLM จึงไม่เหมือนแอปพลิเคชันที่เคยมี
เมื่อตั้งต้นด้วยคำถามว่าทำไมองค์กรจึงต้องมี Firewall ที่ออกแบบมาเฉพาะกับโมเดล LLM ก็ต้องชวนคิดต่อไปว่าความแตกต่างของ LLM เทียบกับแอปพลิเคชันแบบเดิมๆนั้นเป็นอย่างไร ซึ่งแบ่งได้ 2 มุมมองคือ
- LLM เป็นการรับข้อมูลแบบภาษามนุษย์ที่มีความไม่แน่นอนสูง ไม่สามารถสร้าง Signature เฉพาะเจาะจงได้ ขนาดถามด้วยคำถามเดียวกันยังได้ผลต่างกัน แต่ปกติแล้วแอปพลิเคชันทั่วไปมักมีชุดคำสั่งจำกัด เช่น แอปพลิเคชันของธนาคารเราจะทราบได้เมื่อมีความผิดปกติขึ้น นอกจากนี้ในมุมของผู้ใช้เองอาจได้รับคำตอบที่คลาดเคลื่อนได้ไม่สามารถการันตีได้ 100%
- แอปพลิเคชันแบบเดิมมีส่วนควบคุมเพื่อเข้าถึงข้อมูลแยกกัน หากปกป้องส่วนนี้ได้ปัญหาการเผยข้อมูลส่วนใหญ่ก็มักคลี่คลาย (แต่เรื่องการปกป้องการเก็บข้อมูลเป็นอีกส่วนหนึ่ง) แต่ในกรณีของ AI ข้อมูลย่อมเป็นส่วนหนึ่งของโมเดลและอาจถูกเข้าถึงได้
ความแตกต่างเหล่านี้ทำให้คนร้ายอาจประดิษฐ์วิธีการใหม่ขึ้นมาและถือว่ายังตรวจจับหรือป้องกันได้ยาก ณ ปัจจุบัน อย่างไรก็ดี OWASP ได้เผยถึงช่องโหว่ที่เกี่ยวข้องกับ LLM นั่นหมายความว่าองค์กรสามารถนำไปใช้อ้างอิงเหตุที่อาจเกิดขึ้นกับโมเดล LLM ได้ ทั้งนี้หลายหัวข้อก็คล้ายคลึงกับสิ่งที่เกิดขึ้นในเว็บแอปพลิเคชัน ซึ่งช่องโหว่เหล่านี้สามารถป้องกันไว้ก่อนได้ ณ วันที่เริ่มออกแบบ พัฒนา และสอนโมเดลของแอปพลิเคชัน
โดยมีช่องโหว่หลายส่วนที่ค่อนข้างน่าสนใจที่ OWASP for LLMs กล่าวถึง เช่น Training Data Poisoning, Supply Chain, Insecure Plugin Design รวมถึงการบริหารจัดการสิทธิ์ด้วยเช่นกัน อย่างไรก็ดีสิ่งที่ Cloudflare นำเสนอก็คือความสามารถในการป้องกันเหตุ Prompt Injection, Model DoS และ Sensitive Information Disclosure
Cloudflare firewall for AI
อันที่จริงแล้วแนวคิดของ Firewall for AI ที่นำเสนอนั้นไม่ได้แตกต่างกับ Web Application Firewall(WAF) เท่าไหร่นัก โดยพื้นฐานแล้วก็คือขวางการเข้าถึงโมเดล ด้วยการดักจับข้อมูลใน HTTP API หรือในรูปแบบของ JSON อย่างไรก็ดีสิ่งเหล่านี้ก็ช่วยตอบโจทย์การโจมตีบางส่วนที่น่ากังวลได้ เช่น
- DoS Attack – ความพยายามทำให้ AI ใช้ทรัพยากรมากยังเป็นไปได้ ด้วยความซับซ้อนของการรับข้อมูล อย่างไรก็ตามกลไก rate limit สามารถก้าวเข้ามาบรรเทาปัญหานี้ ด้วยการสร้าง Policy ที่กำหนดหนดเพดานการร้องขอต่อ 1 หมายเลขไอพี หรือใน 1 API Key เป็นต้น
- Sensitive Information Disclosure – ข้อมูลความลับหรือที่ละเมิดต่อข้อบังคับไม่ควรถูกเปิดเผยออกไปได้ ซึ่งตรงนี้ Cloudflare ได้นำเสนอการป้องกันทั้งขาเข้าและออก โดยขาออกท่านสามารถกำหนด Rule เพื่อตรวจจับข้อมูลละเอียดอ่อนได้ เช่น ข้อมูลส่วนบุคคล(PII) และ ข้อมูลการเงิน เป็นต้น โดยแผนในอนาคตคือการให้ผู้ใช้สร้าง Rule ที่ต้องการได้เอง อย่างไรก็ดีอีกหนึ่งกลไกที่จะช่วยป้องกันสิ่งที่ระบบจะได้รับก็คือ Prompt Validation ซึ่งพูดถึงการการรันตีให้สิ่งที่ส่งเข้ามาเป็นไปตามกรอบและไม่ละเมิดต่อข้อบังคับ
- Abuse Model – LLM มีความไม่สเถียรสมบูรณ์ที่คำตอบอาจเพี้ยนออกไปอย่างควบคุมไม่ได้(หลอน) จึงมีความเป็นไปได้ที่ผู้ไม่หวังดีจะประดิษฐ์วิธีการให้ AI เกิดความคลาดเคลื่อนเหล่านี้และคายข้อมูลที่ไม่เหมาะสมหรือความลับออกมา โดยจุดนี้สามารถบรรเทาปัญหาได้ด้วยการมีเลเยอร์หนึ่งที่ช่วยบล็อกความพยายามที่ไม่เหมาะสม
จะเห็นได้ว่ากลไกของ rate limit และ sensitive detection ไม่ได้เป็นเรื่องใหม่เลยที่ทาง Cloudflare มีให้บริการอยู่แล้วในโซลูชันการป้องกันต่างๆ แต่ prompt validation นี้คือความสามารถใหม่อย่างแท้จริง ที่ยังกำลังถูกพัฒนาอยู่และคาดว่าจะออกมาในไม่กี่เดือนข้างหน้า ทั้งนี้ไอเดียการป้องกันก็คือการวัดคะแนนความเป็นภัยในประเภทต่างๆ โดยมีช่วงระหว่าง 1-99 ตามหัวข้อต่างๆ
รูปแบบการ deploy ใช้งาน firewall for AI
Cloudflare ยังคงวางตัวเป็นคนกลางสำหรับการป้องกันเช่นเคยเหมือนกับ WAF ไม่ว่าโมเดล AI ของท่านจะอยู่บน Cloudflare Worker AI หรือ Third Party ก็สามารถใช้บริการนี้ได้ทั้งสิ้น ทั้งนี้มีอีกหนึ่งสิ่งที่ควรรู้เกี่ยวกับ LLM คือรูปแบบการใช้งานที่มักพบเห็นได้ในชีวิตประจำวันคือ
1.) Internal LLM – การนำ LLM มาใช้เพื่องานภายในขององค์กร ซึ่งถือเป็นสินทรัพย์หนึ่งในองค์กร สิ่งที่ควรพิจารณาคือสิทธิ์การเข้าถึงใช้งานโมเดล
2.) Public LLM – ChatGPT เป็นตัวอย่างที่ทุกคนคุ้นเคย ที่มีข้อกังวลเกี่ยวกับโมเดลคือใครก็สามารถโจมตีบริการได้ ดังนั้นผู้ใช้ก็ไม่ควรมอบความลับของตนหรือองค์กรให้กับบริการ อีกทั้งเป็นสิ่งที่อยู่นอกเหนือการควบคุมขององค์กร
3.) Product LLM – การที่ LLM เป็นส่วนหนึ่งของผลิตภัณฑ์หรือบริการ โดยมากองค์กรมักจะดูแลโซลูชันด้วยตัวเองและมีเครื่องมือที่สร้างการปฏิสัมพันธ์กับทรัพยากรขององค์กร