✅LLM
LLM Nedir?
Büyük Dil Modelleri (LLM'ler), kullanıcı girdilerini işleyebilen ve kelime dizilerini tahmin ederek makul yanıtlar oluşturabilen yapay zeka algoritmalarıdır. Bunlar, dilin bileşen parçalarının birbirine nasıl uyduğunu analiz etmek için makine öğrenimi kullanılarak büyük yarı halka açık veri setleri üzerinde eğitilir.
Birçok web LLM saldırısı, prompt injection olarak bilinen bir tekniğe dayanır. Bu, bir saldırganın bir LLM'nin çıktısını manipüle etmek için önceden hazırlanmış promptlar kullandığı tekniktir. Prompt injection, AI'nın hassas API'lere yanlış çağrılar yapmak veya yönergelerine uymayan içerikler döndürmek gibi amaçlanan amacının dışında eylemler gerçekleştirmesine neden olabilir.
Saldırı Yöntemleri
LLM ile SQLi
LLM ile konuşarak ona veritabanında sorgu yapmasını isteyebiliriz.
LLM ile Command Injection
LLM ile konuşarak ondan sunucuda komut çalıştırmasını isteyebiliriz.
LLM ile CSRF
LLM'in başka kullanıcılar soru sorduğunda bizim istediğimiz promptları çalıştırmasını sağlayabiliriz.
Aşağıdaki yorumları ürüne yazıyoruz.
LLM ile XSS
Eğer kullanıcıların yorumları LLM tarafından bize gösteriliyorsa ve XSS koruması yoksa xss çalıştırabiliriz.
Yoruma aşağıdaki payload'u yazabiliriz.
Kaynaklar
Portswigger Academy: https://portswigger.net/web-security/llm-attacks
Last updated