|
|
AI Agent智能体安全:Vibe-Coded Agents编码智能体应用安全实战 English 中文字幕版
确保由人工智能生成的应用程序和基于网络的智能代理能够免受注入攻击、认证漏洞、敏感信息泄露以及不安全默认设置带来的威胁。
借助辅助开发工具,构建应用程序的速度比以往任何时候都要快,但与此同时,也更容易因为疏忽而犯下安全错误。本课程通过一个实用的现代案例,来讲解使用Vibe编程语言开发的应用程序所涉及的安全基本知识。这个案例是一个基于Web的AI应用,其中包含了真实的工具、用户数据、认证机制以及云服务功能。
你不必仅通过理论来学习安全知识,而是可以通过一个典型的实际案例来进行学习。许多开发者都在使用这种开发模式:打造出表面上看似普通网页应用的AI应用程序,但实际上,它在背后运用了大型语言模型、各种工具、内存管理机制以及后端接口等功能。因此,这个案例非常适合用来帮助人们理解传统应用程序的安全机制与AI应用的安全机制之间的关联。
在这门实践课程中,你将学到:
●每个使用人工智能辅助开发的开发者都应该掌握的核心应用安全概念
●符合OWASP标准的风险包括注入攻击、认证漏洞、不安全的默认设置,以及权限过高的系统设置。
●人工智能代码生成如何会在应用程序和智能体中引入安全漏洞
●如何识别生成代码和架构中存在的缺陷或安全隐患
●用于输入验证、身份认证、权限控制以及敏感数据处理的安全编码方式
●秘密管理、依赖关系管理以及常见的供应链风险
●如何在具有分层防御机制的代理系统中降低攻击范围
●如何在部署之前使用自动扫描和基于人工智能的审核流程
●如何制定一套用于快速实现人工智能辅助开发的个人安全检查清单
本课程的重点在于阐述:如何让那些用传统网页代码编写的AI程序变得容易受到提示注入、数据窃取、授权漏洞、内存攻击以及权限滥用等问题的威胁。同时,课程还会详细讲解如何一步步解决这些问题。
课程结束时,学生将掌握如何利用人工智能提升开发效率,同时不会忽视安全方面的基本原则。他们还将学会如何为传统软件以及现代人工智能应用系统设计有效的防护措施。
短期攻击目标清单:
●提示注入
●间接提示注入攻击
●注入攻击
●认证失败/无法通过认证
●授权失败/无有效授权
●不安全的默认设置/不稳定的默认参数
●敏感信息泄露
●数据窃取
●内存污染
●工具滥用
●越狱行为
●个人身份信息泄露
●依赖风险
●供应链风险
●过度授权/权限过大
本课程适合哪些人学习:
●开发人工智能应用程序、智能机器人或基于人工智能技术的产品的软件工程师与开发者们
●需要评估人工智能应用风险的安全工程师、应用安全工程师以及云安全工程师。
●希望了解人工智能代理在实际情况中的攻击方式的系统运营工程师和安全分析师们
●需要了解人工智能代理所带来的风险及应对措施的首席信息安全官CISOs、安全领域的领导者们以及技术决策者们。
●负责推动人工智能安全应用的解决方案架构师、平台工程师和工程管理人员
●任何想要了解传统应用安全技术与现代人工智能安全机制在实际系统中如何结合的人
1 - Setup
1. Intro.mp4
2. Google Cloud.mp4
3. API Keys.mp4
4. Cloud Objects.mp4
5. Happy Path 1.mp4
6. Happy Path 2.mp4
7. Happy Path 3.mp4
8. Deployment.mp4
9. Outro.mp4
2 - Blast Radius
10. exploirt part 1.mp4
11. exploit part 2.mp4
12. Excessive Agency and Sensitive Data Disclosure (Description).html
12. Excessive Agency and Sensitive Data Disclosure.mp4
13. AI Agent Blast Radius (Description).html
13. AI Agent Blast Radius.mp4
14. Fix.mp4
15. Limitations of System Prompts in LLM Security (Description).html
15. Limitations of System Prompts in LLM Security.mp4
16. Pitfalls of Relying on LLM Model Versions for Security (Description).html
16. Pitfalls of Relying on LLM Model Versions for Security.mp4
17. Balancing Agent Autonomy with Human-in-the-Loop Security (Description).html
17. Balancing Agent Autonomy with Human-in-the-Loop Security.mp4
3 - Information Disclosure with Broken Access Control Securing AI Agents
18. Sensitive Information Disclosure and Excessive Agency.mp4
19. Demonstrating Broken Access Control in AI Agents.mp4
20. Enforcing RBAC in LLM Tool Calls (Description).html
20. Enforcing RBAC in LLM Tool Calls.mp4
21. RECAP Key Takeaways Securing AI Agents with RBAC.mp4
4 - Confused Deputy Attack with Indirect Prompt Injection
22. Indirect Prompt Injection & The Confused Deputy Problem (Description).html
22. Indirect Prompt Injection & The Confused Deputy Problem.mp4
23. Data Exfiltration via Indirect Prompt Injection (Description).html
23. Data Exfiltration via Indirect Prompt Injection.mp4
24. Analyzing an Indirect Prompt Injection with LangSmith (Description).html
24. Analyzing an Indirect Prompt Injection with LangSmith.mp4
25. The Human Element of Security Exploits (Description).html
25. The Human Element of Security Exploits.mp4
26. Exploiting the Data Pipeline with Asynchronous Attacks (Description).html
26. Exploiting the Data Pipeline with Asynchronous Attacks.mp4
27. Fix Tool Validation and Explicit Data Boundaries (Description).html
27. Fix Tool Validation and Explicit Data Boundaries.mp4
28. Fix Hands On.mp4
29. RECAP Intent Matching and Boundary Creation.mp4 |
|
|小黑屋|手机版|Archiver|美河学习在线
( 浙网备33020302000026号 )
发表于 
在线QQ客服2
添加客服QQ