Bewertung von KI-Schwachstellen für Large Language ModelsVulnerability Rating Taxonomy aktualisiert
10. Januar 2024
Eine Aufnahme KI-bezogener Schwachstellen in die Open-Source-Taxonomie zur Bewertung von Schwachstellen formalisiert, wie Schwachstellen in Large Language Models (LLMs) auf der Plattform definiert, gemeldet und priorisiert werden.
Aktualisierungen der Vulnerability Rating Taxonomy (VRT) hat Bugcrowd angekündigt. Sie sollen zum ersten Mal KI-bezogene Schwachstellen in großen Sprachmodellen (LLMs) definieren und priorisieren. Die VRT ist ein fortlaufendes Open-Source-Projekt zur Standardisierung der Art und Weise, wie von Hackern eingereichte Schwachstellen in einem Industriestandard gemeldet werden, und ist in der Bugcrowd-Plattform für die Nutzung durch Hacker, Kunden und die Anwendungssicherheitsingenieure von Bugcrowd implementiert.
Diese neueste VRT-Version, die zum Teil durch die OWASP Top 10 für Large Language Model Applications inspiriert wurde, stellt einen Meilenstein für die Crowdsourcing-Cyber-Sicherheitsbranche dar. Sie vermittelt Kunden und Hackern ein gemeinsames Verständnis darüber, wie LLM-bezogene Schwachstellen klassifiziert und priorisiert werden. Mit diesen Informationen können sich Hacker auf die Suche nach spezifischen Schwachstellen machen und sich auf die Erstellung gezielter Proof-of-Concept-Konzepte konzentrieren. Gleichzeitig können Programmverantwortliche mit LLM-bezogenen Assets den Projektrahmen und die Belohnungen so gestalten, dass die besten Ergebnisse erzielt werden.
Bereits im Jahr 2016 hat Bugcrowd den VRT entwickelt, der jetzt ein Open-Source-Projekt für Kunden, Bugrowd-Anwendungssicherheitsingenieure und Forscher ist, die an einem gemeinsamen Verständnis der Risikostärke arbeiten. Die VRT ist so konzipiert, dass sie sich ständig weiterentwickelt, um die aktuelle Bedrohungslage widerzuspiegeln. Seit der Erstellung der VRT wurden Hunderttausende von Schwachstellenmeldungen erstellt, validiert, bewertet und von den Programmbetreibern auf der Bugcrowd-Plattform akzeptiert.
Diese neue Version des VRT eröffnet den Programmteilnehmern nicht nur eine neue Form der offensiven Sicherheitsforschung und des Red-Teaming, sondern hilft den Unternehmen auch dabei, ihre Möglichkeiten zu erweitern, um diese zusätzlichen Angriffsvektoren einzubeziehen.
Casey Ellis ist Gründer und Chief Strategy Officer von Bugcrowd.
