Blitz CTF #3 baby-ai

 

문제 풀이 

AI와 대화하면서 취약점을 알아내고 flag를 열도록 해야 하는것 같다. 

문제 파일에는 index.js가 있었는데 지피티에 보내서 해석하도록 했다. ㅎ..

 

계속 딴 소리 하는 거 같아서 다시 들어가보았다. 

이 상태가 계속 반복됨..ㅋㅋ

결국 또 검색 함.. https://velog.io/@sultanofdisco/%EB%93%9C%EB%A6%BC%ED%95%B5-baby-ai

근데 웃긴게 마지막에 . 안 붙이니까 flag가 안 나온다.. 이게 뭐지 싶음 

 

LLM 취약점 

LLM 애플리케이션의 가장 치명적인 취약점 10가지와 최근 주목받는 RAG (https://m.boannews.com/html/detail.html?idx=133411)

RAG (검색 증강 생성)

• 이글루코퍼레이션에서 개발
• 다양한 취약점을 내포하는 LLM을 보완하며 학습 데이터의 무결성을 확보하는 방법
• LLM이 답변 생성 전에 외부 데이터 소스 참조해 정확도를 높이는 방식 
• LLM이 특정 도메인, 조직 내부 데이터 활용해 보다 정밀한 답변 생성 가능  

RAG 사용 구조

 

RAG 구조 

1. 외부 데이터 생성 
2. 관련 정보 검색 (DB에서 검색해서 가져옴)
3. LLM 프롬프트 확장 
4. 외부 데이터 업데이트 

 

LLM 애플리케이션의 데이터 플로에서 발생 가능한 취약점

 

OWASP에서 발표한 LLM 애플리케이션의 취약점

1. 프롬프트 주입 (Prompt Injection)
2. 불완전한 출력 처리 (Insecure Output Handling)
3. 학습 데이터 중독 (Training Data Poisoning) 
4. 모델 서비스 거부 (Model Denial of Service)
5. 공급망 취약점 (Supply Chain Vulnerabilites)
6. 민감 정보 노출 (Sensitive Information Disclosure)
7. 불완전 플러그인 설계 (Insecure Plugin Design)
8. 과도한 에이전시 (Excessive Agency)
9. 과도한 의존 (Overreliance)
10. 모델 도난 (Model Theft)

 

파인튜닝 (Fine-Tuning) : LLM에 도메인 특화 데이터를 학습시켜 맞춤형 모델로 업데이트하는 방식 

 

마켓에서 주목받는 생성형 AI 애플리케이션