数据传输劫持
风险概览
风险编号:GAARM.0013
子风险:无
安全阶段:数据安全
生命周期:部署阶段
创建时间:2024.05.01
修改时间:2024.05.01
攻击概述¶
在进行大型模型的预训练、精调和推理服务时,需要在不同的主体或部门之间传输数据。这些数据往往包含各种敏感信息和隐私,比如个人身份信息和金融数据等。攻击者通过恶意截取传输时的数据,可以获取到相关的隐私信息,进而导致敏感信息泄露,给用户带来安全和隐私问题。
攻击案例¶
| 案例 | 描述 |
|---|---|
| 案例一 | 攻击者利用未加密的网络传输漏洞,成功截获了一家金融机构在进行大模型服务时传输的个人金融数据,导致敏感信息泄露,给用户带来安全和隐私风险 |
攻击风险¶
- 敏感数据泄露:攻击者可能通过截获数据获取敏感信息,如个人身份信息、财务数据、医疗记录等。
- 知识产权:如果数据中包含了商业机密或专有算法,数据截获可能导致这些知识产权的泄露。
缓解措施¶
| 缓解方式 | 描述 |
|---|---|
| 数据加密 | 通过对敏感数据进行加密处理,确保数据在传输过程中的安全性 |