Глава 1 — Почему безопасность ИИ иная

Опубликовано: 2026-05-10 Последнее обновление: 2026-07-13 Версия: 1
Глава 1 — Почему безопасность ИИ иная

Глава 1 — Почему безопасность ИИ иная

Первый пост поглавного разбора LLM Primer VII: AI Security. Глава, утверждающая, что безопасность ИИ — это не традиционная безопасность с приставкой ML: подложка изменилась, и всё дальнейшее в книге следует из этого сдвига.


Зачем существует эта глава

Три десятилетия инженерия безопасности опиралась на устойчивую основу: код и данные — разные вещи, уязвимости — расхождение между заявленным и фактическим поведением, а патчи их закрывают. Большие языковые модели ломают эту основу конкретным образом. Поведение, которое надо защищать, закодировано не в исходном коде, а в миллиардах выученных весов, исполняемых против входа, где доверенные инструкции смешаны с недоверенным содержимым в одной строке. «Уязвимость» часто не баг — это модель, делающая ровно то, чему её учили, в контексте, которого дизайнеры не предвидели. Нет патча для «модель была слишком услужлива». Есть только редизайн, переобучение или дополнительная изоляция. Эта глава называет структурные различия, определяющие всё, что последует далее.

Если коротко: безопасность LLM — это не безопасность кода с новым списком атак; это безопасность поведенческого конверта, применённая к вероятностной системе, чьё поведение распределено по весам, которых никто не читал, и чьи «код» и «данные» приходят в одном потоке токенов.

1.1 Подложка изменилась

Традиционная безопасность приложений работает потому, что поведение специфицировано в коде, а дефекты локализуемы. У SQL-инъекции есть структурное решение — параметризованные запросы — потому что есть синтаксическое различие между запросом и параметром. У языковой модели такой спецификации нет. Есть цель обучения и распределение весов, а поведение на конкретном входе — эмерджентно. Когда модель отказывает на одной формулировке и подчиняется на другой, править нечего. Вопрос безопасности сдвигается от «есть ли баг на этом пути кода» к «на что эта система способна и при каких условиях эта способность становится опасной». Традиционная безопасность также предполагала детерминизм как базовую линию; здесь базовая линия вероятностная. Фильтр безопасности, успешный на тысяче тестов, может дать сбой на тысяча первом, потому что сэмплирование пошло другим путём. Защитник рассуждает распределениями и доверительными интервалами, а не доказательствами недостижимости. Обновлённый в 2025 году OWASP Top 10 для приложений LLM — с prompt injection на LLM01 и неограниченным потреблением на LLM10 — попытка назвать этот новый слой, но это этаж выше существующего этажа веб-приложений, а не его замена.

1.2 Поверхность атаки расширяется

Приложение, интегрированное с LLM, вводит поверхности, которых раньше не было. Сам промпт — конкатенация инструкций разработчика, извлечённого контекста, ввода пользователя и результатов работы инструментов, — и всё это токены, которые модель читает без встроенных границ доверия. Если пользователь может повлиять на любую часть, он делит канал с разработчиком. Retrieval-путь — вторая новая поверхность: каждый индексируемый документ становится косвенным входом, и всякий, кто может повлиять на то, что попадает в индекс, влияет на то, что видит модель. Гресаке и коллеги назвали это косвенной prompt-инъекцией в 2023 году и показали, что канал и реален, и трудно закрываем. Граница tool-use — третья: каждый инструмент, выданный модели, — это привилегия, чьи последствия выходят за пределы текста ответа и достигают реальных систем. Обучающий конвейер — четвёртая, поскольку любые данные, использованные для обновления модели, становятся частью границы доверия. Артефакт модели — пятая: большие бинарники, чья десериализация, как показал CVE-2024-3568, может исполнить код при загрузке. Обработка вывода — шестая, поскольку сгенерированный моделью контент, передаваемый ниже по конвейеру, — это недоверенный вход под другим именем. MITRE ATLAS каталогизирует тактики и техники против этой расширенной поверхности.

1.3 Модели становятся инфраструктурой

С 2012 по 2022 год модели были фичами внутри приложений. Сбой рекомендательной системы давал худшие рекомендации. Большие языковые модели, особенно с tool-use, это изменили. Модель всё чаще — оркестровочный слой: читает документы, решает, какой инструмент вызвать, набрасывает сообщение, генерирует код, который исполняет другой компонент. Часто это самый мощный компонент системы, и одновременно самый податливый — управляемый естественно-языковым вводом, который может написать кто угодно. У традиционной базы данных есть языки запросов и контроли доступа; у LLM в роли оркестратора нет ни одного из этих внутренних ограничителей — только те, что добавило окружающее приложение. Именно это «инфраструктура» здесь и значит: несущие компоненты, чей компромисс распространяется. Инфраструктуре определяют SLO, обеспечивают всестороннее логирование, контроль изменений и реагирование на инциденты. Большинство развёртываний LLM в 2024–2025 годах ещё не достигли этой зрелости. Инфраструктурный фрейм касается и закупок: когда организация встраивает управляемый LLM-сервис в свой стек, дисциплина обновления модели вендором, оценочные ворота и практики раскрытия становятся частью риск-профиля покупателя.

Стоит запомнить: ретрофит безопасности на системы, не спроектированные под неё, оставляет швы, которые никакой объём патчей полностью не закрывает — так шли аутентификация электронной почты, транспортное шифрование, изоляция процессов. Системы LLM можно либо проектировать с безопасностью как first-class концерном, либо обнаруживать швы позже — публично и за деньги.

Что подготавливает глава 1

Остальная часть книги — ответ на структурные сдвиги, названные здесь. Глава 2 вводит моделирование угроз, адаптированное для систем LLM, — фреймворки STRIDE и PASTA, обращённые к активам, противникам и поверхностям атаки, не появляющимся на обычных диаграммах. Глава 3 прорабатывает данные-измерение на всём жизненном цикле. Главы 4–6 проходят внутренность промпта и взаимодействия: инъекция, фильтрация и RAG. Главы 7–9 проходят слой модели. Главы 10–12 проходят системную архитектуру вокруг. Главы 13–15 добавляют регуляторный, ответственно-ИИшный и организационный периметр. Глава 16 разбирает файн-тюнинг как отдельную поверхность безопасности, а глава 17 смотрит на угрозы, которые ещё формируются. Вся дуга опирается на посылку, установленную этой главой: подложка изменилась, и дисциплина должна измениться вместе с ней.


Дальше — Глава 2: Моделирование угроз для систем LLM. Четыре вопроса Шостака, STRIDE и PASTA против активов LLM и MITRE ATLAS как каталог тактик противников, которых эта новая поверхность притягивает.

Хочется всю картину? В книжной главе — полное соответствие OWASP LLM Top 10, расширенное обсуждение NIST AI 100-1 и AI 600-1 применительно к продакшн-позиции и врезки In Plain English, которые эта статья только резюмирует. LLM Primer VII на Amazon →

SHO
SHO
CTO и основатель RECEIPTROLLER. Ориентирован на данные, движим инновациями, всегда любознателен.