ulrich.dev

Générateur de modèle de menaces LLM

Dites-lui ce que fait votre fonctionnalité LLM, quelles données elle touche et quels outils elle peut appeler. Il renvoie un premier modèle de menaces structuré : actifs, points d'entrée, attaques les plus probables et estimation du rayon d'action que vous pouvez emmener en revue.

Ce qu'il vérifie

  • Cartographie les actifs, les frontières de confiance et les points d'entrée
  • Liste les attaques les plus probables pour votre configuration précise
  • Estime le rayon d'action si le modèle est totalement compromis
  • Exporte un modèle de menaces en Markdown à déposer dans un dépôt

À propos de cet outil

La modélisation des menaces classique suppose un système dont vous maîtrisez le flux de contrôle. Une fonctionnalité LLM ne marche pas ainsi : c'est le contenu — vos données, celles de l'utilisateur, un document récupéré — qui décide à l'exécution de ce que fait le système. Le générateur de modèle de menaces part de cette réalité. Vous décrivez la fonctionnalité, les données qu'elle touche et les outils qu'elle peut appeler ; il renvoie un premier modèle structuré : actifs, frontières de confiance, points d'entrée, attaques les plus probables et estimation du rayon d'action.

Ce n'est pas un audit. C'est le brouillon que vous emmenez en revue d'équipe — celui qui évite la page blanche et garantit que les questions qui comptent (qui peut faire faire quoi à ce modèle ? que se passe-t-il s'il est totalement compromis ?) sont posées avant le lancement, pas après l'incident.

Le résultat s'exporte en Markdown, prêt à être déposé dans un dépôt à côté du code qu'il décrit, et à vivre comme un document versionné plutôt qu'un PDF oublié.

Exemples

Agent support avec accès remboursement

Entrée
Fonctionnalité : « Un agent support qui lit les tickets et peut émettre des remboursements jusqu'à 500 $. » Accès : API Stripe, base clients, docs internes.
Résultat
Actifs : fonds, PII clients. Point d'entrée à risque : le corps du ticket (entrée non fiable). Attaque probable : injection indirecte via un ticket piégé déclenchant un remboursement. Rayon d'action : mouvement d'argent. Contrôle prioritaire : plafond + validation humaine au-dessus d'un seuil, hors du prompt.

Assistant RAG sur documentation interne

Entrée
Fonctionnalité : « Un chatbot qui répond à partir de nos documents Confluence. » Accès : index vectoriel, lecture seule.
Résultat
Frontière de confiance : les documents indexés sont une entrée, pas une autorité. Attaque probable : confused deputy — un document empoisonné fait dire au modèle ce que l'attaquant veut. Contrôle : cloisonner par permission de l'utilisateur qui interroge, pas seulement par celle de l'index.

Le rayon d'action d'un système RAG suit ce qu'il peut lire, pas seulement ce qu'il peut écrire.

Sources

Articles liés