GPT Security Best Practices

Источник этих рекомендаций по безопасности GPT. Если он разветвлен, прежде чем использовать эти советы, поищите обновления!

Как энтузиаст языковых моделей искусственного интеллекта, меня часто беспокоит то, как небрежно обращаются с конфиденциальными данными в различных приложениях. Хотя ажиотаж вокруг GPT понятен, ненадлежащее обращение с конфиденциальной информацией создает серьезные проблемы для администраторов и специалистов по безопасности, управляющих серверами, арендованными клиентами. Целью этого документа является предоставление рекомендаций по безопасному внедрению GPT в веб-приложениях для предотвращения уязвимостей безопасности и защиты конфиденциальных данных.

• Введение
• Риски безопасности и уязвимости
• Использование переменных среды в PHP
• Лучшие практики по внедрению GPT
• Выбор подходящей конечной точки API
• Пример кода
• Кредиты

Цель этого документа — описать риски безопасности и уязвимости, которые могут возникнуть при внедрении GPT в веб-приложениях, а также предоставить рекомендации по снижению этих рисков.

• Хранение конфиденциальных данных в JavaScript
• Предоставление ключей API и URL-адресов запросов в консоли браузера

1. Используйте серверные языки, такие как PHP, для обработки конфиденциальных данных и функций. Вместо использования JavaScript для обработки конфиденциальных данных используйте серверные языки, такие как PHP. Это обеспечит безопасность данных и их защиту от клиентской стороны, где к ним можно будет получить доступ через консоль браузера.

 <?php
$ api_key = " your_api_key_here " ;
$ request_url = " https://api.openai.com/v1/engines/davinci-codex/completions " ;

2. Используйте AJAX для связи между интерфейсом и сервером. С помощью AJAX вы можете асинхронно отправлять данные на сервер и получать данные с него, не раскрывая конфиденциальную информацию в консоли браузера.

Интерфейс (JavaScript с jQuery)

 function sendRequest ( inputText ) {
  $ . ajax ( {
    url : 'backend.php' ,
    type : 'POST' ,
    data : { input : inputText } ,
    success : function ( response ) {
      // Process and display the response from GPT
    } ,
    error : function ( ) {
      // Handle error cases
    }
  } ) ;
}

Серверная часть (PHP)

 <?php
$ api_key = " your_api_key_here " ;
$ request_url = " https://api.openai.com/v1/engines/davinci-codex/completions " ;

$ inputText = $ _POST [ ' input ' ];

// Process the input and send a request to GPT

// Return the response to the front-end

3. Защитите свой ключ API. Храните свой ключ API в безопасном месте, например в переменной среды, а не в исходном коде. Это предотвратит случайное раскрытие ключа в публичных репозиториях.

Вы можете сохранить свой ключ API как переменную среды, добавив его в конфигурацию среды вашего сервера или используя файл .env (с помощью такой библиотеки, как PHP dotenv).

Создайте файл .env в корневом каталоге вашего проекта:

 GPT_API_KEY=your_api_key_here

Установите пакет vlucas/phpdotenv с помощью Composer:

 composer require vlucas/phpdotenv

Загрузите переменные среды из файла .env в свой PHP-скрипт:

 <?php
require_once ' vendor/autoload.php ' ;

use Dotenv  Dotenv ;

$ dotenv = Dotenv:: createImmutable ( __DIR__ );
$ dotenv -> load ();

Получите доступ к ключу API из переменных среды:

 <?php
$ api_key = getenv ( ' GPT_API_KEY ' );
$ request_url = " https://api.openai.com/v1/engines/davinci-codex/completions " ;

Используя переменные среды, ваш ключ API будет храниться в безопасности и отделен от исходного кода. Не забудьте добавить файл .env в файл .gitignore, чтобы предотвратить его случайное добавление в ваш общедоступный репозиторий.

4. Проверка и очистка вводимых пользователем данных. Убедитесь, что вводимые пользователем данные проверены и очищены перед их обработкой. Это предотвратит потенциальные уязвимости безопасности, такие как XSS-атаки.

Серверная часть (PHP)

 <?php
// Sanitize user input before processing
$ inputText = filter_input ( INPUT_POST , ' input ' , FILTER_SANITIZE_STRING );

5. Используйте HTTPS для безопасной связи. При развертывании веб-приложения убедитесь, что вы используете HTTPS для шифрования связи между клиентом и сервером, предотвращая атаки типа «злоумышленник посередине».

6. Ограничьте частоту запросов API. Чтобы предотвратить злоупотребление ключом API GPT и контролировать расходы, внедрите ограничение скорости в коде на стороне сервера. Это ограничит количество запросов к GPT API в течение указанного периода времени.

Серверная часть (PHP)

 <?php
// Implement rate-limiting logic here
// ...

// Only proceed with the request if the rate limit is not exceeded
if ( $ is_rate_limit_ok ) {
  // Send a request to GPT API
}

7. Используйте политику безопасности контента (CSP). Внедрите заголовки CSP для предотвращения XSS-атак и других уязвимостей, контролируя ресурсы, которые пользовательскому агенту разрешено загружать для данной страницы.

8. Используйте заголовки безопасности. Реализуйте заголовки безопасности, такие как X-Frame-Options, X-Content-Type-Options и другие, для защиты вашего приложения от распространенных уязвимостей безопасности.

При внедрении GPT крайне важно выбрать подходящую конечную точку API в зависимости от вашего конкретного варианта использования. OpenAI предоставляет различные конечные точки для разных целей. Вот текущие конечные точки OpenAI:

Различные конечные точки имеют разную стоимость за токен или за запрос. Выберите конечную точку, которая соответствует вашему бюджету.

Некоторые конечные точки обеспечивают более быстрое время отклика, а другие больше подходят для тяжелых задач. При выборе конечной точки учитывайте потребности вашего приложения в производительности.

Каждая конечная точка имеет свои сильные и слабые стороны. Оцените уникальные требования вашего приложения и выберите конечную точку, которая наилучшим образом соответствует этим потребностям.

Пример использования конечной точки /v1/chat/completions с моделью gpt-3.5-turbo в веб-приложении.

Обновите $request_url в вашем внутреннем PHP-скрипте:

 <?php
$ api_key = getenv ( ' GPT_API_KEY ' );
$ request_url = " https://api.openai.com/v1/chat/completions " ;

Создайте функцию для отправки запроса к GPT API:

 <?php
function send_chat_completion_request ( $ api_key , $ request_url , $ messages ) {
  $ ch = curl_init ();

  $ data = array (
    ' model ' => ' gpt-3.5-turbo ' ,
    ' messages ' => $ messages
  );

  curl_setopt ( $ ch , CURLOPT_URL , $ request_url );
  curl_setopt ( $ ch , CURLOPT_POST , 1 );
  curl_setopt ( $ ch , CURLOPT_POSTFIELDS , json_encode ( $ data ));
  curl_setopt ( $ ch , CURLOPT_RETURNTRANSFER , true );
  curl_setopt ( $ ch , CURLOPT_HTTPHEADER , array (
    " Content-Type: application/json " ,
    " Authorization: Bearer $ api_key "
  ));

  $ response = curl_exec ( $ ch );
  $ httpcode = curl_getinfo ( $ ch , CURLINFO_HTTP_CODE );
  curl_close ( $ ch );

  return array ( ' response ' => $ response , ' httpcode ' => $ httpcode );
}

Вызовите функцию send_chat_completion_request() и обработайте ответ GPT API:

 <?php
$ inputText = filter_input ( INPUT_POST , ' input ' , FILTER_SANITIZE_STRING );
$ messages = array (
  array ( ' role ' => ' system ' , ' content ' => ' You are talking to a helpful assistant. ' ),
  array ( ' role ' => ' user ' , ' content ' => $ inputText )
);

$ result = send_chat_completion_request ( $ api_key , $ request_url , $ messages );

if ( $ result [ ' httpcode ' ] == 200 ) {
  $ json_response = json_decode ( $ result [ ' response ' ], true );
  $ assistant_reply = $ json_response [ ' choices ' ][ 0 ][ ' message ' ][ ' content ' ];

  // Return the response to the front-end
  echo $ assistant_reply ;
} else {
  // Handle error cases
  echo " Error: " . $ result [ ' response ' ];
}

В этом примере показано, как использовать конечную точку /v1/chat/completions с моделью gpt-3.5-turbo. Функция send_chat_completion_request() отправляет запрос в API с входным текстом и получает сгенерированный ответ. Ответ помощника затем возвращается во внешний интерфейс.

Дополнительные ресурсы и примечания, которые могут быть полезны для понимания и внедрения лучших практик, упомянутых в этом документе.

• Безопасное внедрение искусственного интеллекта (ИИ)

С. Волкан Кючукбудак

• Ваша поддержка

Если вы считаете этот проект полезным и хотите его поддержать, есть несколько способов сделать это:

• Если этот технический документ окажется для вас полезным, разместите его на GitHub. Это помогает сделать проект более заметным и охватить больше людей.
• Станьте подписчиком: если вы заинтересованы в обновлениях и будущих улучшениях, подпишитесь на мою учетную запись GitHub. Таким образом, вы всегда будете в курсе событий.
• Узнайте больше о моей работе: я приглашаю вас ознакомиться со всеми моими работами на GitHub и посетить мой сайт разработчика https://volkansah.github.io. Здесь вы найдете подробную информацию обо мне и моих проектах.
• Поделитесь проектом: если вы знаете кого-то, кому может быть полезен этот проект, поделитесь им. Чем больше людей смогут им воспользоваться, тем лучше. Если вы цените мою работу и хотите ее поддержать, посетите мою страницу спонсора на GitHub. Любая поддержка приветствуется и помогает мне дальше совершенствоваться и расширять свою работу.

Спасибо за вашу поддержку! ❤️