Para escalar efetivamente grandes modelos de linguagem (LLMs) em iniciativas de inteligência artificial de longo prazo, as empresas estão adotando cada vez mais estruturas de geração aumentada por recuperação (RAG). No entanto, essa transição exige uma segurança contextual robusta para atender à crescente demanda por integração.
Protegendo RAGs com Inteligência Contextual
Os métodos convencionais de controle de acesso em RAG estão aquém do necessário para oferecer a supervisão contextual adequada. Como o RAG não possui controle de acesso integrado, isso representa um risco de segurança significativo, permitindo potencialmente o acesso não autorizado a informações sensíveis.
Limitações dos Controles de Acesso Tradicionais
O Controle de Acesso Baseado em Funções (RBAC) é muito rígido para se adaptar a solicitações contextuais dinâmicas, enquanto o Controle de Acesso Baseado em Atributos (ABAC) enfrenta dificuldades em escalar e gera custos de manutenção mais altos. Existe uma necessidade clara de uma abordagem mais sofisticada que aumente a proteção sem comprometer o desempenho.
Apresentando o Controle de Acesso Baseado em Contexto (CBAC)
Reconhecendo essas lacunas, a Lasso Security desenvolveu o Controle de Acesso Baseado em Contexto (CBAC) para aprimorar a gestão de acesso contextual. O CBAC avalia dinamicamente o contexto de todas as solicitações de acesso aos LLMs, incluindo avaliação de acesso, resposta, interação, comportamento e modificações de dados. Essa abordagem abrangente garante segurança robusta, evitando acessos não autorizados e mantendo altos padrões dentro das estruturas de LLM e RAG.
Ophir Dror, cofundador e CPO da Lasso Security, enfatizou: “Os métodos tradicionais se concentram em critérios estáticos, falham em gerenciar o contexto de forma eficaz e podem deixar as organizações vulneráveis.” O CBAC aborda essas deficiências, garantindo que apenas usuários autorizados acessem informações específicas, protegendo assim dados sensíveis de serem divulgados inadequadamente por chatbots.
O que é Geração Aumentada por Recuperação (RAG)?
Em 2020, pesquisadores da Facebook AI Research, University College London e New York University publicaram um artigo fundamental sobre RAG, definindo-o como um método que combina modelos pré-treinados com um sistema de memória não paramétrica. Ao permitir um processamento mais eficaz dos dados empresariais, o RAG aprimora significativamente as capacidades dos LLMs.
Gartner explica que o RAG aborda as limitações dos LLMs convencionais, permitindo a integração de informações relevantes da empresa. O gráfico anexo ilustra como o RAG opera.
Desenhando o CBAC para Integração com RAG
Dror compartilhou que o CBAC foi projetado para flexibilidade, funcionando como uma solução independente ou integrando-se perfeitamente a sistemas existentes, como Active Directory. Essa versatilidade facilita a adoção sem exigir mudanças significativas na infraestrutura atual de LLM.
Embora opere de forma independente, o CBAC também se integra à suíte de segurança de IA generativa da Lasso Security. Isso garante proteção abrangente para interações de funcionários com chatbots, aplicativos e modelos baseados em IA. A Lasso Security monitora continuamente as transferências de dados e identifica rapidamente anomalias ou violações de políticas, garantindo um ambiente seguro e em conformidade.
Dror detalhou que o CBAC avalia constantemente diversos indicadores contextuais para aplicar políticas de controle de acesso, permitindo que apenas pessoal autorizado acesse informações sensíveis, mesmo em documentos que contenham dados confidenciais e publicamente relevantes.
Enfrentando Desafios de Segurança
Dror observou que as organizações que implementam o RAG frequentemente enfrentam questões críticas sobre permissões de acesso. À medida que a adoção do RAG aumenta, as limitações dos LLMs—como alucinações e dificuldades com o treinamento de dados—intensificam a urgência de resolver problemas de permissões. O CBAC foi desenvolvido para enfrentar esses desafios, fornecendo as percepções contextuais necessárias para permitir estratégias de controle de acesso dinâmicas.
À medida que o RAG se torna central nas estratégias de LLM e IA das organizações, a inteligência contextual será essencial para promover soluções seguras e escaláveis, sem comprometer o desempenho.
Classificação
