ทุกวันนี้เราใช้ AI เป็นเรื่องปกติแล้วหละ แต่มีสิ่งหนึ่งที่เริ่มพูดถึงกันมากในวงการ IT แต่ยังไม่แพร่หลายกับผู้ใช้งานทั่วไป นั่นคือเรื่องของ Prompt Injection Attack ซึ่งเป็นช่องโหว่ของการใช้ AI ผ่าน Prompt ที่อาจจะไม่ปลอดภัยกับเรา ซึ่งโดยมากมักมาจาก Prompt ที่เราก้อปปี้มาใช้ หรือใช้ผ่านระบบ AI อื่นที่เราไม่รู้ว่าเขาแอบซ่อน Prompt อะไรแปลกๆ ไหม ซึ่งผมไปอ่านรายละเอียดเจอในเว็บไซต์ OWASP (Open Worldwide Application Security Project) ค่อนข้างน่าสนใจเลยทีเดียว เขาจัดให้เป็นภัยคุกคามอันดับ 1 ในเรื่องความปลอดภัยของ LLM (Large Language Model) ในปัจจุบัน เลยอยากสรุป และแบ่งปันกันครับ บทความนี้จะครอบคลุมตั้งแต่แนวคิดพื้นฐาน ประเภทการโจมตี พร้อมยกตัวอย่างให้เห็นภาพ รวมถึงแนวทางป้องกันตามมาตรฐาน OWASP
Tag Archives: Security
วิธีเก็บ Sensitive Data บน Kubernetes ด้วย Secrets
จากบล็อกที่แล้วได้ลองทำ Kubernetes บน Amazon EKS แบบง่ายๆ ด้วย eksctl แต่ก็ยังมีจุดที่กังวลอยู่ คือเรื่องการระบุ Sensitive Data เช่น Password, Token ต่างๆ ลงใน Environment Variable ที่ได้เขียนไว้ในไฟล์ Deployment YML ซึ่งทาง Kubernetes เอง ได้ทำฟีเจอร์มารองรับการแก้ปัญหานี้แล้ว เป็น Kind ประเภท Secret นั่นเองครับ เลยขอบันทึกวิธีทำไว้สักหน่อย