4 failles de vos appli IA (+ code java/vue-js)

Je vous montre dans cette vidéo 4 attaques possibles sur une simple application utilisant un LLM. Nous codons de plus d'applications qui utilisent des LLM (Large Language Model). C'est une révolution dans nos applications mais ça pose aussi des problèmes de sécurité. Note: je vous propose un petit défi en fin de vidéo, (à 40:13). Mais nous allons surtout parler d'un principe crucial qui vous permettra de mieux comprendre la sécurité d'un LLM dans toutes les situations. Code des exemples : - https://codeberg.org/neuronaddict/llm-security-1 - https://github.com/NeuronAddict/llm-security-1 Voir le README pour l'installation. Liens --------------------- Failles d'autorisation : https://youtu.be/McuQmi0ULBc Filtrer un LLM : https://youtu.be/V1EBNHXf1PE Cas exfiltration par url : https://youtu.be/pC5JASEqcho, https://youtu.be/jmm-cUdaDVA Autres vidéos IA : https://www.youtube.com/playlist?list=PLlxK3-F8MjauIJp-q_sdZ9MwDn4MK-ocK Langchain4j : https://docs.langchain4j.dev/intro/, https://quarkus.io/guides/dev-services Quarkus: https://quarkus.io/, Quinoa (la partie front du projet): https://docs.quarkiverse.io/quarkus-quinoa/dev/index.html# (top, je ferai peut être une vidéo sur le sujet prochainement) Chapitres --------------------- 00:00 Intro 00:49 L'application quarkus 02:57 Langchain4j pour interroger le LLM 06:04 tools / function calling 10:11 Attaque du prompt et data leak 12:49 Premier fix par le prompt système 13:48 bypass du fix par attaque de prompt 16:37 Fix robuste de l'autorisation 20:55 Utilisation des guards pour filtrer la réponse de mistralAI 26:42 Attaque SSRF via le LLM 33:04 Protection contre le SSRF via proxy 34:31 Exfiltration de la liste des utilisateurs via bypass du guard 38:07 La règle d'or pour sécuriser ses applications LLM/IA 40:13 Défi sécurité