book

Le guide du développeur pour la sécurité des grands modèles de langage

Name: Le guide du développeur pour la sécurité des grands modèles de langage
Author: Steve Wilson
ISBN: 9798341630659

by Steve Wilson

March 2025

Intermediate to advanced

200 pages

6h 49m

French

O'Reilly Media, Inc.

Audio summary available

Read now

Unlock full access

Préface
Qui devrait lire ce livre ?Pourquoi j'ai écrit ce livreNaviguer dans ce livreSection 1 : Poser les bases (Chapitres 1-3)Section 2 : Risques, vulnérabilités et remèdes (chapitres 4 à 9)Section 3 : Construire un processus de sécurité et préparer l'avenir (chapitres 10 à 12)Conventions utilisées dans ce livreApprentissage en ligne O'ReillyComment nous contacterRemerciements
1. Chatbots Breaking Bad
Parlons de TayLe déclin rapide de TayPourquoi Tay s'est-elle effondrée ?C'est un problème difficile
2. Le Top 10 de l'OWASP pour les applications LLM
A propos de l'OWASPLe top 10 des projets de candidature au LLMExécution du projetRéceptionLes clés de la réussiteCe livre et la liste des 10 meilleurs
3. Architectures et limites de confiance
IA, réseaux neuronaux et grands modèles linguistiques : Quelle est la différence ? La révolution des transformateurs : Les origines, l'impact et la connexion LLMLes origines du TransformateurImpact de l'architecture des transformateurs sur l'IATypes d'applications basées sur la LLMArchitecture de l'application LLMLimites de confianceLe modèleInteraction avec l'utilisateurDonnées de formationAccès à des sources de données externes vivantesAccès aux services internesConclusion
4. Injection prompte
Exemples d'attaques par injection de promptSuggestion énergiquePsychologie inverséeMauvaise directionLe prompt contradictoire universel et automatiséLes répercussions de l'injection prompteInjection rapide directe ou indirecteInjection directe et prompteInjection indirecte et promptePrincipales différencesAtténuer les risques d'injection prompteLimitation du tauxFiltrage des entrées basé sur des règlesLe filtrage avec une LLM spécialiséeAjout d'une structure de promptFormation contradictoireDéfinition de la limite de confiance pessimisteConclusion
5. Ton LLM peut-il en savoir trop ?
Exemples concretsLee LudaCopilote GitHub et Codex OpenAIMéthodes d'acquisition des connaissancesModèle de formationFormation au modèle de la fondationConsidérations de sécurité pour les modèles de fondationMise au point du modèleRisques liés à la formationGénération assistée par récupérationAccès direct au WebAccéder à une base de donnéesApprendre de l'interaction avec l'utilisateurConclusion
6. Les modèles linguistiques rêvent-ils de moutons électriques ?
Pourquoi les LLMs hallucinent-ils ?Types d'hallucinationsExemplesPrécédents juridiques imaginairesProcès d'un chatbot de compagnie aérienneAssassinat involontaire de personnagesHallucinations des paquets Open SourceQui est responsable ?Meilleures pratiques d'atténuationConnaissances élargies dans un domaine spécifiqueLes prompts de la chaîne de pensée pour une plus grande précision.Boucles de rétroaction : Le pouvoir de l'apport de l'utilisateur dans l'atténuation des risquesCommunication claire de l'utilisation prévue et des limitesÉducation des utilisateurs : Donner aux utilisateurs les moyens d'agir grâce à la connaissanceConclusion
7. Ne fais confiance à personne
La confiance zéro décodéePourquoi être si paranoïaque ?Mise en place d'une architecture de confiance zéro pour ton LLM.Attention aux agences excessivesSécurise ton traitement des sortiesConstruire ton filtre de sortieRecherche de PII avec RegexÉvaluation de la toxicitéRelier tes filtres à ton LLMDésinfecter pour plus de sécuritéConclusion
8. Ne perds pas ton portefeuille
Attaques DoSAttaques basées sur le volumeAttaques de protocoleAttaques de la couche d'applicationUne attaque DoS épique : DynModèle d'attaques DoS ciblant les LLMsAttaques contre les ressources raresÉpuisement de la fenêtre contextuelleDonnées imprévisibles de l'utilisateurAttaques DoWClonage de modèleStratégies d'atténuationGarde-fous spécifiques à un domaineValidation et assainissement des entréesLimitation robuste du débitPlafonnement de l'utilisation des ressourcesSurveillance et alertesSeuils financiers et alertesConclusion
9. Trouve le maillon faible
Les bases de la chaîne d'approvisionnementSécurité de la chaîne d'approvisionnement des logicielsLa violation d'Equifax Le piratage de SolarWinds La vulnérabilité de Log4Shell Comprendre la chaîne d'approvisionnement du LLMRisque lié au modèle Open SourceEmpoisonnement des données de formationDonnées de formation sur les accidents dangereuxPlug-ins dangereuxCréer des artefacts pour suivre ta chaîne d'approvisionnementImportance des SBOMCartes modèlesCartes modèles et SBOMCycloneDX : La norme SBOMLa montée en puissance du ML-BOMConstruire un exemple de nomenclature MLL'avenir de la sécurité de la chaîne d'approvisionnement LLMSignature numérique et filigraneClassifications et bases de données des vulnérabilitésConclusion

10. Tirer les leçons de l'histoire future
Révision du Top 10 de l'OWASP pour les applications LLMÉtudes de casLe jour de l'indépendance : Un désastre sécuritaire célébré2001 : L'Odyssée de l'espace des failles de sécuritéConclusion
11. Fais confiance au processus
L'évolution de DevSecOpsMLOpsLLMOpsIntégrer la sécurité dans les LLMOps La sécurité dans le processus de développement du LLMSécuriser ton CI/CDOutils de test de sécurité spécifiques au LLMGérer ta chaîne d'approvisionnementProtège ton application avec des garde-fousLe rôle des garde-fous dans une stratégie de sécurité en LLM.Solutions de garde-corps open source ou commercialesMélange de garde-corps sur mesure et de garde-corps emballésSurveillance de ton applicationEnregistrer chaque prompt et chaque réponseGestion centralisée des journaux et des événementsAnalyse du comportement des utilisateurs et des entitésConstitue ton équipe rouge de l'IAAvantages de l'équipe rouge de l'IAÉquipes rouges et tests de pénétrationOutils et approchesAmélioration continueÉtablir et ajuster les garde-fousGestion de l'accès aux données et de leur qualitéTirer parti de la RLHF pour l'alignement et la sécuritéConclusion
12. Un cadre pratique pour une sécurité responsable de l'IA
PouvoirGPUCloudSource ouverteMultimodalAgents autonomesResponsabilitéLe cadre RAISELa liste de contrôle RAISEConclusion
Index
A propos de l'auteur

Overview

Cet ouvrage a été traduit à l'aide de l'IA. Tes réactions et tes commentaires sont les bienvenus : translation-feedback@oreilly.com

Les grands modèles de langage (LLMs) ne se contentent pas de façonner la trajectoire de l'IA, ils dévoilent également une nouvelle ère de défis en matière de sécurité. Cet ouvrage pratique vous emmène au cœur même de ces menaces. L'auteur Steve Wilson, directeur des produits chez Exabeam, se concentre exclusivement sur les LLMs, évitant la sécurité généralisée de l'IA pour se plonger dans les caractéristiques et vulnérabilités uniques inhérentes à ces modèles.

Riche de la sagesse collective acquise lors de la création de la liste OWASP Top 10 des LLM, un exploit accompli par plus de 400 experts du secteur, ce guide fournit des conseils concrets et des stratégies pratiques pour aider les développeurs et les équipes de sécurité à faire face aux réalités des applications LLM. Que vous conceviez une nouvelle application ou que vous ajoutiez des fonctionnalités d'IA à une application existante, ce livre est la ressource incontournable pour maîtriser le paysage de la sécurité de la prochaine frontière de l'IA.

Tu apprendras :

Pourquoi les LLMs présentent des défis uniques en matière de sécurité
Comment naviguer parmi les nombreuses conditions de risque associées à l'utilisation de la technologie LLM
Le paysage des menaces liées aux LLMs et les limites de confiance critiques qui doivent être maintenues
Comment identifier les principaux risques et vulnérabilités associés aux LLMs
Méthodes de déploiement de défenses pour se protéger contre les attaques sur les principales vulnérabilités
Moyens de gérer activement les limites de confiance critiques sur tes systèmes pour assurer une exécution sécurisée et minimiser les risques

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Concevoir des interfaces d'IA (French Edition)

Publisher Resources

ISBN: 9798341630659

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills