Where Do LLM-based Systems Break? A System-Level Security Framework for Risk Assessment and Treatment

Deze paper introduceert een doelgerichte risicobeoordelingsframework voor LLM-systemen dat systeemmodellering combineert met aanvals- en verdedigingstrbomen en CVSS-scoring om kwetsbaarheden in kritieke workflows, zoals de gezondheidszorg, gestructureerd te analyseren en gerichte verdedigingsmaatregelen te mogelijk maken.

De kern

Titel: Hoe beveiligen we slimme AI-assistenten? Een veiligheidsplan voor de toekomst

Stel je voor dat je een super slimme, digitale assistent hebt die helpt in een ziekenhuis. Deze assistent (een "Large Language Model" of LLM) kan medische dossiers lezen, artsen helpen met diagnoses en zelfs medicijnen voorschrijven. Het klinkt geweldig, maar er zit een addertje onder het gras: als deze assistent gehackt wordt, kunnen patiënten gevaar lopen, kunnen vertrouwelijke gegevens lekken, of kan het hele systeem platvallen.

Deze paper van Neha Nagaraja en Hayretdin Bahsi zegt: "Hé, we kijken nu alleen naar de assistent zelf, maar we vergeten de rest van het gebouw!" Ze hebben een nieuw plan bedacht om het hele systeem veilig te maken, niet alleen de AI.

Hier is de uitleg in simpele taal, met een paar creatieve vergelijkingen:

1. Het Probleem: De "Sluipmoordenaars" in het Systeem

Stel je het ziekenhuissysteem voor als een gigantisch kasteel.

• De AI is de slimme adviseur in de toren.
• Maar de adviseur is verbonden met de poortwachters (web-apps), de archieven (medische dossiers) en de boodschappers (andere software).

Tot nu toe keken beveiligingsexperts alleen naar de adviseur: "Is de adviseur slim genoeg om niet te liegen?" Maar hackers zijn slim. Ze kunnen niet de adviseur zelf hacken, maar ze kunnen de boodschapper omkopen, de poortwachter neerslaan, of een valse brief in de archieven steken. Als dat gebeurt, doet de adviseur wat hij zegt, maar is het resultaat een ramp.

De auteurs zeggen: "We moeten kijken naar het hele pad dat een hacker aflegt, van de poort tot aan de adviseur."

2. De Oplossing: Een "Bos van Bomen" (Attack-Defense Trees)

Om dit te visualiseren, gebruiken ze een methode die lijkt op een gigantische boom (in het Engels: Attack-Defense Tree).

• De Wortels (Doelen): Wat wil de hacker?
  1. De patiënt een verkeerde operatie laten ondergaan (Integriteit).
  2. De medische dossiers stelen (Privacy).
  3. Het ziekenhuis platleggen zodat niemand hulp krijgt (Beschikbaarheid).
• De Takken (De Route): Hoe komt de hacker daar?
  • Tak A: Hij steelt de sleutel van de poortwachter (hacken van wachtwoorden).
  • Tak B: Hij vermomt zich als een arts (man-in-the-middle).
  • Tak C: Hij fluistert de verkeerde instructies in het oor van de adviseur (prompt injection).

De boom laat zien dat al deze takken soms samenkomen in één dunne tak (een zwak punt). Als je die ene tak verstevigt, blokkeer je de hele route.

3. De Scorebord: De "CVSS" (De Beveiligings-thermometer)

Hoe weten ze welke tak het gevaarlijkst is? Ze gebruiken een bestaand systeem uit de beveiligingswereld genaamd CVSS. Stel je dit voor als een thermometer of een weersvoorspelling.

• Ze geven elke stap in de hack een score.
• Is het makkelijk? (Laag risico op de thermometer).
• Moet je een sleutel stelen? (Middel risico).
• Moet je een hele server platleggen? (Hoog risico).

Door deze scores door de boom te laten "vloeien", krijgen ze een totale score voor de hele aanval. Dit helpt hen te zien: "Oh, deze route is heel makkelijk te hacken (hoge temperatuur), die andere is erg moeilijk."

4. De Oplossing: De "Schuifbalken" (Defensie)

Nu komt het leuke deel: Hoe maken we het veiliger?

Stel je voor dat je een muur bouwt. Je kunt:

1. De poort versterken: Moeilijker maken om binnen te komen (bijv. twee factoren voor inloggen).
2. De adviseur beschermen: Zorgen dat de adviseur niet luistert naar valse instructies (bijv. filters die gekke zinnen blokkeren).
3. De schat bewaken: Zorgen dat zelfs als ze binnenkomen, ze de dossiers niet kunnen zien.

De auteurs laten zien dat je niet alles tegelijk hoeft te doen. Als je de poort al heel sterk maakt, heeft het weinig zin om ook nog de schat te versterken, omdat de hacker al buiten de deur blijft. Ze noemen dit het vinden van de "bottleneck" (de knelpunt).

Ze vergelijken verschillende strategieën:

• Strategie A: Alles versterken (duur en veel werk).
• Strategie B: Alleen de zwakste plekken versterken (goedkoop en effectief).

5. Het Resultaat: Een Praktisch Plan voor Ziekenhuizen

In hun proefproject met een ziekenhuissysteem ontdekten ze iets verrassends:
Veel verschillende manieren om te hacken leiden uiteindelijk naar dezelfde zwakke plekken.

• Of je nu wachtwoorden steelt of de AI manipuleert: vaak is het probleem dat geen enkele controle is ingesteld op het moment dat de AI een opdracht uitvoert.
• Door op dat ene moment een "poortwachter" (een controle) te plaatsen, blokkeer je veel verschillende soorten aanvallen tegelijk.

Samenvatting in één zin

Deze paper geeft ziekenhuizen en tech-bedrijven een landkaart om te zien waar hackers kunnen binnenbreken in slimme AI-systemen, en helpt hen te kiezen welke deuren en ramen ze het eerst moeten dichtmaken om het meeste veiligheidsgevoel te krijgen voor de minste moeite.

Het is alsof je niet alleen een slot op je voordeur doet, maar ook kijkt of je raam openstaat, of je hond wakker is, en of je buren alert zijn – en dan beslist waar je de beste investering doet om je huis echt veilig te maken.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Where Do LLM-based Systems Break? A System-Level Security Framework for Risk Assessment and Treatment" in het Nederlands.

Probleemstelling

Grote Taalmodellen (LLM's) worden steeds vaker geïntegreerd in veiligheidskritieke systemen, zoals in de zorgsector voor het ondersteunen van klinische beslissingen en het beheer van elektronische gezondheidsrecords (EHR). Bestaande veiligheidsanalyses zijn echter vaak gefragmenteerd en isoleren het modelgedrag van de bredere systeemcontext.

• Lek in de literatuur: Bestaand onderzoek richt zich vaak op model- of API-centrice bedreigingen (zoals prompt-injectie of jailbreaks) die losstaan van concrete domeinen. Anderzijds zijn traditionele risicoframeworks (zoals STRIDE of CVSS) vaak gericht op conventionele softwarecomponenten en missen ze de complexiteit van LLM-systemen met cross-sessie geheugen, tool-callen en workflow-logica.
• Uitdaging: Er ontbreekt een gestructureerde methode om drie verschillende categorieën van bedreigingen in één systeemvisie te consolideren: (i) conventionele cyberdreigingen, (ii) adversarial ML-bedreigingen en (iii) conversational attacks (zoals prompt-injectie). Zonder een end-to-end analyse van aanvalspaden is het moeilijk om prioriteiten te stellen voor mitigatie en verdedigingsstrategieën te vergelijken.

Methodologie

De auteurs introduceren een doelgerichte (goal-driven) risicobeoordelingsframework dat system modeling combineert met Attack-Defense Trees (ADTrees) en CVSS (Common Vulnerability Scoring System) scoring. De methodologie bestaat uit drie hoofdstappen:

1. Systeemmodellering en ADT-conceptie:

   • Het LLM wordt gemodelleerd als één component binnen een grotere architectuur (inclusief webapplicaties, orchestratoren, externe tools en EHR-systemen).
   • Voor drie specifieke beveiligingsdoelen (G1: Inmenging in medische procedures, G2: Lekken van EHR-gegevens, G3: Verstoring van beschikbaarheid) worden Attack-Defense Trees opgebouwd.
   • Elke aanvalspad wordt semantisch opgedeeld in drie lagen:
     • Precondities (P): Wat moet er al mis zijn voordat een exploit mogelijk is (bijv. compromitteren van de prompt-kanaal).
     • Uitvoering (V): De actieve aanval (bijv. het injecteren van schadelijke prompts).
     • Impact: Het bereiken van het veiligheidsdoel.
   • Logische connectoren (OR, AND, SAND) worden gebruikt om afhankelijkheden weer te geven. Specifiek wordt SAND (Sequential AND) gebruikt om te modelleren dat precondities eerst vervuld moeten zijn voordat uitvoering mogelijk is.

2. Kwantificering met CVSS v3.1:

   • In plaats van kwalitatieve schalen, worden CVSS v3.1 exploitability-vectoren (AV, AC, PR, UI) toegepast op de bladeren van de boom (de specifieke aanvalsstappen), vaak gekoppeld aan representatieve CVE's.
   • Aggregatielogica:
     • Bij OR-knooppunten wordt de hoogste exploitability-score gekozen (de aanvallers kiezen de makkelijkste weg).
     • Bij AND-knooppunten wordt de laagste score gekozen (de moeilijkste voorwaarde bepaalt de moeilijkheid).
     • Bij SAND-knooppunten (P → V) wordt een "Majority Attack Complexity" (ACmaj) berekend op basis van de precondities, die vervolgens de complexiteit van de uitvoeringsstap beïnvloedt.
   • Impact wordt pas op het wortelknooppunt (het doel) toegevoegd, wat zorgt voor een duidelijke scheiding tussen "hoe makkelijk een aanval is" (exploitability) en "hoe ernstig de schade is" (impact).

3. Risicobehandeling en Kostenanalyse:

   • Het framework simuleert verdedigingsmaatregelen als transformaties op de CVSS-metrics (bijv. het verhogen van PR van 'Low' naar 'High' door MFA, of het verhogen van AC door input-validatie).
   • Er wordt een ordinaal kostenmodel (niveaus 1-4) gebruikt om de implementatiekosten van verdedigingen te schatten op basis van engineering-inspanning, infrastructuur en operationele last.
   • Verschillende scenario's worden vergeleken (bijv. alleen precondities harden, alleen uitvoering harden, of gecombineerd) om de meest kosteneffectieve mitigatie te vinden.

Kernbijdragen

1. Doelgerichte Systeemmodellering: Een methode om LLM-systemen te modelleren die heterogene bedreigingsklassen (conventioneel, adversarial, conversational) verenigt in één ADT-structuur, specifiek voor zorgtoepassingen.
2. Exploitability Scoring voor Multi-stap Paden: Een innovatieve manier om CVSS-vectoren te mappen op ADT-bladeren en deze te aggregeren via logische connectoren, inclusief een mechanisme om de complexiteit van precondities door te geven aan de uitvoeringsstap.
3. Vergelijking van Verdedigingsportefeuilles: Een workflow die concrete beveiligingscontroles modelleert als wijzigingen in CVSS-metrics, waardoor het mogelijk is om verschillende verdedigingsstrategieën te vergelijken op basis van resterend risico en kosten.

Resultaten

De framework is getest in een casestudy voor een LLM-gestuurde zorgassistent.

• Risicoprofiel: De analyse toonde aan dat bedreigingen vaak samenkomen in een klein aantal dominante paden en gedeelde systeemknelpunten (choke points). Veel paden resulteerden in een hoge basis-CVSS-score (rond de 7.5), wat wijst op een hoog risico in de huidige architectuur zonder mitigatie.
• Effectiviteit van Verdediging:
  • Het harden van alleen precondities (bijv. betere authenticatie) kan de exploitability significant verlagen, maar de OR-aggregatie betekent dat één zwakke link het hele pad kwetsbaar houdt.
  • Het combineren van verdedigingen (zowel precondities als uitvoering) levert de grootste daling op.
  • Het framework maakt expliciet waar de "bottleneck" ligt: als één fase (bijv. precondities) al sterk is gehard, leveren extra maatregelen in diezelfde fase afnemende meeropbrengst op.
• Kosten vs. Risicoreductie: Door scenario's te vergelijken, konden de auteurs aantonen dat bepaalde verdedigingen (zoals mTLS of strikte RBAC) een grote impact hebben op de exploitability-score tegenover een redelijke kosteninvestering, terwijl andere maatregelen (zoals alleen logging) de exploitability niet direct verlagen maar wel de detectietijd verbeteren.

Betekenis en Toekomstperspectief

• Brug tussen AI en Traditionele Veiligheid: Dit werk overbrugt de kloof tussen abstracte AI-veiligheidszorgen en gevestigde kwetsbaarheidsmanagementpraktijken (CVSS). Het biedt een taal die zowel security-engineers als ML-experts kunnen begrijpen.
• Domein-onafhankelijk: Hoewel de casestudy in de zorg is uitgevoerd, is de workflow generiek toepasbaar op andere kritieke systemen met LLM's.
• Praktische Toepassing: Het framework helpt organisaties om gefundeerde beslissingen te nemen over waar ze verdedigingsmiddelen moeten inzetten, gebaseerd op een gestructureerde analyse van aanvalspaden in plaats van geïsoleerde bedreigingen.
• Toekomst: De auteurs suggereren dat de methode kan worden uitgebreid met CVSS v4.0 om meer specifieke LLM-eigenschappen (zoals kostenvergroting door prompt-flooding) beter te modelleren, en dat LLM's zelf kunnen worden gebruikt om het threat modeling-proces te ondersteunen.

Kortom, dit artikel biedt een robuust, reproduceerbaar raamwerk om de complexe risico's van LLM-systemen te kwantificeren, te visualiseren en te mitigeren in een vroeg stadium van de systeemontwikkeling.