Pular para o conteúdo

Modelo de ameaças OWASP LLM Top 10 e MITRE ATLAS

Mapeia a implementação de referência ai-agent-eval-harness-healthtech frente ao OWASP Top 10 para Aplicações de LLM (2025) e à matriz adversarial de ameaças MITRE ATLAS. Este documento identifica quais ameaças são mitigadas por controles existentes, quais estão parcialmente abordadas e quais exigem trabalho adicional para a implantação em produção.

Leia em conjunto com a postura regulatória, o mapeamento do NIST AI RMF e a decisão de salvaguardas.

Este modelo de ameaças cobre a superfície do agente conversacional: a entrada do usuário chegando pelo endpoint POST /chat, o processamento pelo pipeline LangGraph de seis nós e a resposta retornada ao usuário. O modelo não cobre ameaças de nível de infraestrutura (rede, host, contêiner) além de observar que a implementação de referência roda em uma plataforma serverless gerenciada (Google Cloud Run) e não é projetada para segurança de infraestrutura de produção.

Mapeamento do OWASP Top 10 para Aplicações de LLM (2025)

Seção intitulada “Mapeamento do OWASP Top 10 para Aplicações de LLM (2025)”
PropriedadeValor
AmeaçaA entrada do usuário contém instruções projetadas para sobrepor o prompt do sistema ou manipular o comportamento do LLM
Mitigações em vigorO classificador de escopo rejeita entradas fora de escopo antes do LLM; modelos de recusa para padrões de injeção conhecidos; o red-team noturno com Promptfoo submete 13 modelos de injeção do OWASP LLM Top 10 mais 25 casos adversariais elaborados manualmente
Risco residualTécnicas inéditas de injeção de prompt não cobertas pelo classificador de escopo ou pelo banco de sementes adversariais podem contornar as salvaguardas determinísticas; o próprio LLM pode obedecer a jailbreaks bem elaborados após a camada de salvaguarda
ControleClassificador de escopo, modelos de recusa e o banco de sementes adversariais
PropriedadeValor
AmeaçaO LLM revela prompts do sistema, detalhes internos de arquitetura ou PII do usuário em suas respostas
Mitigações em vigorRedação de PII na entrada e na saída cobrindo e-mail, telefone (EUA/Chile/Brasil), RUT, CPF, DNI, SSN, cartão de crédito (Luhn), MRN, DOB; detecção de extração de prompt do sistema no classificador de escopo; invariante de privacidade: o texto da mensagem do usuário nunca entra em spans de OpenTelemetry (imposto por um teste automatizado); a varredura de segredos impede segredos no repositório
Risco residualOs padrões de PII são baseados em regex e podem deixar passar formatos inéditos ou PII contextual; o LLM pode inferir PII a partir de contexto que não é PII
ControleEtapa de redação de PII e classificador de escopo
PropriedadeValor
AmeaçaProvedor de LLM comprometido, pesos de modelo envenenados ou dependência maliciosa
Mitigações em vigorA abstração Protocol do cliente de LLM (veja a decisão de abstração de fornecedor de LLM) permite a troca de provedor sem alterações de código; o lockfile de dependências fixa todas as dependências; o monitoramento automatizado de dependências está habilitado; sem downloads de modelos em tempo de execução (modelos pré-treinados acessados via API)
Risco residualSem verificação da integridade do provedor de LLM; sem atestação de proveniência do modelo; a fixação de dependências evita drift, mas não evita um comprometimento inicial
ControleA camada do cliente de LLM, o lockfile de dependências e o monitoramento automatizado de dependências
PropriedadeValor
AmeaçaDados de treinamento ou conteúdo da KB manipulados para produzir saídas prejudiciais
Mitigações em vigorDados 100% sintéticos com proveniência documentada (a declaração de dados); os cartões da KB carregam uma URL de origem e uma licença de origem; o arcabouço de avaliação detecta regressões comportamentais; alterações no corpus são submetidas a revisão
Risco residualA geração de dados sintéticos usa saída de LLM (herdando vieses do modelo); sem detecção automatizada de drift do conteúdo da KB em relação ao material de origem
ControleO corpus de dados sintéticos e o arcabouço de avaliação
PropriedadeValor
AmeaçaA saída do LLM é renderizada ou executada sem higienização (XSS, execução de código)
Mitigações em vigorA renderização de SVG usa createElementNS e textContent, nunca innerHTML; a API retorna JSON estruturado; sem avaliação dinâmica de código sobre a saída do LLM; o schema de resposta do chat é fixo
Risco residualSe consumidores a jusante renderizarem markdown da saída do LLM sem higienização, o XSS é possível; esta é uma preocupação do lado do consumidor
ControleA camada de renderização do frontend e a camada da API
PropriedadeValor
AmeaçaO agente de LLM tem mais permissões ou capacidades do que o necessário
Mitigações em vigorO classificador de escopo limita o agente a tópicos de adesão à medicação; os modelos de recusa bloqueiam dosagem, diagnóstico, alteração de prescrição, interpretação de exames; sem capacidades de uso de ferramentas (sem chamada de função, sem integrações de API, sem acesso ao sistema de arquivos); o agente não pode iniciar chamadas de rede de saída
Risco residualA própria capacidade conversacional do agente é a “agência”; o risco é limitado pela superfície de recusa, mas não eliminado para tipos de solicitação inéditos
ControleClassificador de escopo e modelos de recusa
PropriedadeValor
AmeaçaO usuário extrai o prompt do sistema por meio de prompts engenhosos
Mitigações em vigorO classificador de escopo inclui padrões de detecção de extração do prompt do sistema; casos adversariais no corpus de avaliação testam a extração de prompt; o red-team noturno com Promptfoo inclui tentativas de extração
Risco residualA detecção determinística de extração pode deixar passar técnicas inéditas; o conteúdo do prompt do sistema não é secreto (está no código-fonte), mas a exposição poderia auxiliar ataques direcionados
ControleClassificador de escopo e o banco de sementes adversariais
PropriedadeValor
AmeaçaEmbeddings envenenados, injeção indireta por meio do conteúdo da KB ou manipulação da recuperação
Mitigações em vigorOs cartões da KB são 100% sintéticos e commitados (sem ingestão dinâmica); a recuperação retorna o texto de origem com imposição de citação; o arcabouço de avaliação verifica a exatidão da citação
Risco residualA recuperação de quase acerto fora do corpus é uma lacuna conhecida (documentada no cartão do modelo); sem detecção de envenenamento de embeddings; o pequeno corpus de 38 cartões torna os limiares de similaridade pouco confiáveis
ControleA camada de recuperação e o corpus da KB commitado
PropriedadeValor
AmeaçaO LLM gera informações de saúde plausíveis, porém incorretas
Mitigações em vigorImposição de citação: cada afirmação clínica deve citar um cartão da KB; recusa em caso de no-match na recuperação; o arcabouço de avaliação pontua fidelidade e alucinação frente a gates impostos na CI com semântica de aprovado/reprovado publicada; aviso de demonstração em cada resposta
Risco residualO modelo pode gerar informações incorretas que citam um cartão válido, mas deturpam seu conteúdo; o pontuador de alucinação captura a maioria, mas não todas as instâncias
ControleA camada de salvaguarda e o arcabouço de avaliação
PropriedadeValor
AmeaçaEsgotamento de recursos por meio de comprimento excessivo de entrada, prompts recursivos ou negação de serviço
Mitigações em vigorLimites de comprimento de entrada no nó de admissão; portões de custo/latência no arcabouço de avaliação (4K tokens de entrada, 1K de saída, 8s por turno); limitação de taxa por sessão disponível (desativada por padrão para determinismo); o host de plataforma gerenciada (Google Cloud Run, instância única) limita a carga concorrente
Risco residualSem detecção de prompts recursivos; sem disjuntor baseado em comprimento de entrada na camada HTTP
ControleO grafo do agente e os portões de custo do arcabouço de avaliação

A matriz MITRE ATLAS adapta o arcabouço MITRE ATT&CK para técnicas adversariais específicas de IA. A tabela a seguir mapeia as técnicas do ATLAS relevantes para este sistema.

Técnica do ATLASAplicabilidadeMitigaçãoStatus
AML.T0000: ReconnaissanceO atacante estuda o repositório de código aberto para entender a arquiteturaO repositório é público; os registros de decisões de arquitetura e a especificação são transparentes por concepçãoAceito — a transparência é um recurso
AML.T0002: Collect Public DataO atacante reúne cartões da KB, corpus de avaliação e prompt do sistema do repositórioDados públicos; apenas sintéticos; sem conteúdo sensívelAceito
AML.T0010: ML Supply Chain CompromiseProvedor de LLM ou dependência comprometidaO Protocol do cliente de LLM permite a troca de provedor; o lockfile de dependências fixa as dependênciasParcialmente mitigado
AML.T0020: Poison Training DataManipular os cartões da KB para injetar conteúdo adversarialDados 100% sintéticos; corpus submetido a revisão; metadados de proveniênciaMitigado
AML.T0043: Craft Adversarial DataCriar entradas projetadas especificamente para contornar as salvaguardasO corpus de avaliação inclui 25 casos adversariais; o red-team noturno com Promptfoo; o classificador de escopo rejeita padrões conhecidosParcialmente mitigado — técnicas inéditas podem contornar
AML.T0044: Full Memory ExtractionExtrair o prompt do sistema por meio de conversaO classificador de escopo inclui detecção de extraçãoParcialmente mitigado
AML.T0048: Prompt InjectionInjetar instruções para sobrepor o comportamento do sistemaClassificador de escopo, modelos de recusa, salvaguardas pré-LLMParcialmente mitigado
AML.T0051: LLM JailbreakContornar os controles de segurança para gerar conteúdo prejudicialArquitetura com salvaguardas antes do LLM; recusa para itens fora de escopo; escalonamento em sinais de alerta agudosParcialmente mitigado
AML.T0054: Manipulate ContentInfluenciar a saída do LLM por meio da manipulação da KBA KB são dados sintéticos commitados; sem ingestão dinâmicaMitigado
AML.T0058: Impact on Model OutputFazer o modelo produzir saídas incorretas ou prejudiciaisImposição de citação; pontuação de fidelidade e alucinação; detecção de regressão do arcabouço de avaliaçãoParcialmente mitigado

A implementação de referência mitiga os riscos mais críticos do OWASP LLM por meio de uma abordagem de defesa em profundidade:

  1. Salvaguardas antes do LLM: O classificador de escopo, a redação de PII, a detecção de escalonamento e os modelos de recusa rodam como nós determinísticos do grafo antes de o LLM ser invocado. Isso significa que as decisões mais críticas de segurança não dependem do comportamento do modelo.

  2. Testes adversariais contínuos: O red-team noturno com Promptfoo, os 25 casos adversariais de avaliação e os 13 modelos de injeção do OWASP LLM Top 10 submetem o sistema a padrões de ataque conhecidos. Novos padrões descobertos pelas execuções de red-team são reincorporados ao banco de sementes adversariais.

  3. Arquitetura transparente: Os registros de decisões de arquitetura, o cartão do modelo, a postura regulatória e o código-fonte público tornam visíveis o projeto e as limitações do sistema. A transparência reduz a assimetria entre atacante e defensor.

  4. Arcabouço de avaliação como portão de regressão: Cada PR de código (o fluxo de trabalho de avaliação é filtrado por caminhos para o código da aplicação, as definições de avaliação, os dados e os manifestos de dependências) roda o piso de avaliação sem juiz e de custo zero (verificações determinísticas de segurança, citação e escalonamento); uma regressão ali faz aquele job de CI falhar. O portão de regressão com juiz sobre o corpus completo (o juiz LLM) roda na programação noturna + disparo manual, não como uma barreira de PR imposta - o repositório não tem proteção de branch (plano gratuito do GitHub), portanto nenhuma verificação de status é um bloqueio duro de merge.

A avaliação honesta é de que essas mitigações são de nível de implementação de referência. Elas demonstram o padrão de defesa em profundidade para aplicações de LLM; não fornecem a mesma garantia que um programa de segurança de produção com recursos dedicados de red-team, testes de penetração e avaliação formal de segurança.

Uma implantação em produção precisaria fortalecer as mitigações em várias dimensões:

  1. Verificação da cadeia de suprimentos de modelos: Atestação de proveniência do modelo, verificações de integridade do provedor, avaliações regulares de segurança do provedor, requisitos contratuais de segurança

  2. Filtragem de saída em escala: Filtragem de saída em tempo real além dos atuais padrões de verificação de citação e de recusa; detecção de toxicidade; classificadores de segurança de conteúdo; escalonamento automatizado de saídas sinalizadas para revisão humana

  3. Testes adversariais avançados: Recursos dedicados de red-team além da automação com Promptfoo; testes de penetração manuais; programa de recompensas; testes adversariais contínuos contra técnicas emergentes

  4. Segurança de embeddings: Detecção de envenenamento de embeddings; verificação de integridade dos resultados de recuperação; ajuste de limiares de similaridade para corpora maiores

  5. Limitação de taxa e proteção de recursos: Disjuntores baseados em comprimento de entrada; detecção de prompts recursivos; limitação de taxa de requisições; detecção de anomalias de custo; degradação graciosa sob carga

  6. Resposta a incidentes: Manual formal de incidentes de segurança; classificação de severidade; procedimentos de notificação para usuários afetados; capacidade de análise forense; processo de revisão pós-incidente

  7. Monitoramento e alertas: Detecção de anomalias em tempo real nas saídas do LLM; alertas automatizados sobre padrões de contorno de salvaguardas; painel para métricas relevantes de segurança