Ataques de negação de crédito, acontecem com muita frequência em aplicações que você paga sob demanda, um exemplo:

– Usar créditos da OpenAI para responder clientes, caso acabem os créditos, ou para de responder os clientes, ou debita do cartão 😥

Então aqui vão algumas dicas, para não tomar na cabeça por besteira:

– Adicione rate limiting

Essa é uma regra para limitar a quantidade de requests que um IP pode fazer por tempo, ex: limite a 20 requests por minuto

– Adicione WAF

Para casos de DDOS onde existem vários IPs diferentes, o rate limiting não vai funcionar então existe outra estratégia: Web Application Firewall

WAF pode ser uma ferramenta para monitorar e filtrar o tráfego, ex: sua app roda no Brasil, por que raios tem 1M de pedidos de outro país? Block.

– Cacheie perguntas similares
Use ferramentas como Neo4j, Postgres e etc, para armazenar as perguntas já realizadas e entregue dados a partir de busca de similaridade (ex. é a mesma pergunta, com palavras diferentes?)

– Receba alertas
Adicione réguas de alertas, chegou a 50%, 70%, 90 de uso? Me avise antes de parar de responder os clientes (ou de debitar da minha conta)

– Adicione artificios para prompt injection

Use ferramentas para identificar a intenção de perguntas recebidas por clientes, para evitar que tenham acesso não autorizado a informações confidenciais de suas AIs (como credenciais por ex.)

– Limite a entrada de dados

Por fim, limite a quantidade de caracteres, ou contexto que possa ser recebido em um único request, afinal você paga por token processado e em um ataque de negação de crédito, esse geralmente é o primeiro passo a atacar!

Comente aqui quais outras dicas de segurança você recomendaria, e já me segue para mais!

Bora que boraaaaaa

Por: Erick Wendel

Portal DoCloud