LLMs in the Wild: Analisi della sicurezza di Web Applications basate su Large Language Models

Con la crescente diffusione di modelli di intelligenza artificiale basate su Large Language Models (LLMs) è cresciuta anche la semplicità e diffusione di applicazioni che le utilizzano. Generalmente, queste applicazioni sono sviluppate con l’intento di essere utilizzate in ambienti controllati, ma a causa di inesperienza degli sviluppatori e di una sottovalutazione dei problemi di sicurezza sono migliaia le applicazioni esposte pubblicamente su motori di ricerca per dispositivi connessi. Un'esposizione così vasta ed incontrollata, consente accesso non autorizzato a sistemi potenzialmente sensibili, mettendo a rischio la riservatezza dei dati degli utenti, la sicurezza operativa delle applicazioni, il rispetto di principi etici fondamentali e aprendo la strada a possibili attacchi informatici. Un’analisi della postura di sicurezza delle applicazioni esposte si rende quindi necessaria per investigare le problematiche di sicurezza più diffuse e il loro potenziale impatto. La presente tesi valuta la sicurezza di tali servizi, concentrandosi in particolare su quelli che utilizzano il framework Streamlit come frontend. Per raggiungere questo obiettivo, abbiamo utilizzato strumenti come Shodan per sviluppare un sistema automatizzato in grado di identificare le istanze esposte pubblicamente, distinguendo tra quelle che richiedono autenticazione e quelle che ne sono prive. Successivamente, abbiamo proceduto a interagire automaticamente con le applicazioni prive di autenticazione tramite connessioni WebSocket per analizzare il comportamento dei sistemi e individuare eventuali vulnerabilità. Delle 1000 applicazioni identificate, ben l’86.8% risultava privo di autenticazione e esposto a ulteriori minacce. Questa analisi sottolinea l’importanza di implementare robuste politiche di sicurezza e tutela della privacy nelle applicazioni di intelligenza artificiale pubblicamente fruibili, offrendo contributi utili per futuri sviluppi nel campo.