Multi-Tenant AI Leakage: Paghihiwalay at Mga Hamon sa Seguridad

O si Eshed Na-publish - Oktubre 21, 2025

Talaan ng nilalaman

Ang Double-Edged Sword ng Multi-Tenancy sa AI
Pag-deconstruct ng Anatomy ng isang GenAI Session Leak
Ang Mga Kritikal na Kakulangan sa Paghihiwalay ng Modelo
Ang Kinakailangan ng Walang Kokompromiso na Paghihiwalay ng Data ng Nangungupahan
Mga Kontrol sa Pag-access: Ang Hindi Natanaw na Gatekeeper
Ang Malalim na Panganib ng Maling Secure Resource Allocation
Ang Browser bilang Bagong Security Frontier para sa AI
Naaaksyunan na Depensa sa LayerX: Mula Teorya hanggang sa Practice
Pagbuo ng Matatag na Istratehiya sa Seguridad ng AI

Ang pagsasama ng Generative AI sa enterprise ay nagbukas ng hindi pa nagagawang produktibidad, ngunit ang teknolohikal na paglukso na ito ay nagdadala ng isang makabuluhang, madalas na hindi pinapansin, ang panganib sa arkitektura. Ang default na modelo ng paghahatid para sa makapangyarihang mga tool na ito ay multi-tenant AI, isang imprastraktura kung saan maraming customer ang nagbabahagi ng parehong computational resources, kabilang ang AI model mismo. Bagama't matipid sa ekonomiya ang diskarteng ito, lumilikha ito ng kumplikado at mapaghamong ekosistema ng seguridad. Paano makatitiyak ang isang organisasyon na ang kumpidensyal na data nito, input sa isang session, ay hindi tatagas sa isa pa? Sinasaklaw ng artikulong ito kung paano maaaring mag-leak ang imprastraktura ng shared model na konteksto o data sa pagitan ng mga session at sinusuri ang mga kritikal na depekto sa paghihiwalay ng tenant na dapat tugunan ng mga pinuno ng seguridad.

Ang pangunahing hamon ay ang lohikal na mga hangganan na naghihiwalay sa mga nangungupahan ay kasing lakas lamang ng software na lumilikha sa kanila. Ang isang depekto sa digital partition na ito ay maaaring humantong sa isang GenAI session leak, kung saan ang sensitibong impormasyon ay tumatawid mula sa isang session ng nangungupahan patungo sa session ng isa pa. Para sa mga CISO at IT leader, ito ay kumakatawan sa isang kritikal na pagkawala ng kontrol sa corporate data. Ang pag-iwas sa panganib na ito ay nangangailangan ng malalim na pag-unawa sa mga kahinaang likas sa mga nakabahaging sistema, mula sa maling pagkakahiwalay ng modelo at mahinang paghihiwalay ng data ng nangungupahan hanggang sa hindi sapat na mga kontrol sa pag-access. Sa huli, ang pag-secure sa paggamit ng multi-tenant AI ay nangangailangan ng isang madiskarteng pagbabago tungo sa pagpapatupad ng seguridad sa punto ng pakikipag-ugnayan: ang browser.

Ang Double-Edged Sword ng Multi-Tenancy sa AI

Bakit naging pamantayan sa industriya ang multi-tenant AI? Ang sagot ay nasa economics at scalability. Ang mga malalaking modelo ng wika (LLM) ay hindi kapani-paniwalang mahal upang sanayin at patakbuhin, na nangangailangan ng napakalaking kumpol ng espesyal na hardware. Sa pamamagitan ng pagpayag sa libu-libong customer na magbahagi ng isang solong, napakalaking halimbawa ng isang modelo, maaaring ipamahagi ng mga tagapagbigay ng AI ang mga gastos na ito, na ginagawang naa-access ang mga advanced na kakayahan ng AI sa isang mas malawak na merkado. Sinasalamin ng modelong ito ang mas malawak na paglipat sa SaaS at cloud computing, kung saan karaniwan ang imprastraktura.

Gumamit tayo ng isang pagkakatulad: isipin ang isang multi-tenant AI platform bilang isang makabagong gusali ng apartment. Ang bawat nangungupahan ay may sariling secure na apartment (kanilang pribadong session), ngunit lahat sila ay nagbabahagi ng pangunahing imprastraktura ng gusali, ang plumbing, electrical grid, at mga sistema ng bentilasyon. Sa teorya, ang bawat apartment ay ganap na nakahiwalay. Ngunit ano ang mangyayari kung ang isang depekto sa sistema ng bentilasyon ay nagpapahintulot sa isang pag-uusap mula sa isang apartment na marinig sa isa pa? O kung ang isang isyu sa pagtutubero sa isang yunit ay bumaha sa nasa ibaba? Ito ang digital na katumbas ng isang data leak sa isang multi-tenant system.

Para sa negosyo, ang kahusayan ng modelong ito ay nasa gastos ng direktang kontrol. Ang mga security team ay naglalagay ng napakalaking tiwala sa kakayahan ng AI provider na mapanatili ang perpektong paghihiwalay sa pagitan ng mga nangungupahan. Kapag nangyari ang pagtagas ng session ng GenAI, hindi lang ito isang teknikal na kabiguan; ito ay isang paglabag sa tiwala na iyon, na may potensyal na malubhang kahihinatnan para sa pagiging kumpidensyal ng data at pagsunod sa regulasyon.

Pag-deconstruct ng Anatomy ng isang GenAI Session Leak

Kaya, ano nga ba ang pagtagas ng session ng GenAI? Isa itong partikular na uri ng paglabag sa data kung saan ang impormasyong ibinigay ng isang user sa isang session ay hindi sinasadyang nakikita ng isa pang user sa isang hiwalay na session. Hindi ito tungkol sa isang hacker na pumapasok sa isang database; ito ay isang mas banayad na kabiguan ng lohikal na paghihiwalay na dapat panatilihing naiiba ang mga pakikipag-ugnayan ng nangungupahan.

Ang pangunahing dahilan ay "pagdurugo ng window ng konteksto." Ang mga modelo ng AI ay nagpapanatili ng isang panandaliang memorya, o "context window," upang subaybayan ang isang patuloy na pag-uusap. Isipin na ang isang legal na koponan sa isang kumpanya ng pangangalagang pangkalusugan ay gumagamit ng isang tool na GenAI upang ibuod ang sensitibong data ng pasyente para sa isang nakabinbing kaso. Dapat na ganap na i-clear ng platform ang kontekstong ito kapag natapos na ang session. Gayunpaman, dahil sa isang bug sa system, ang mga fragment ng data ng pasyente ay nananatili sa aktibong memorya ng modelo. Pagkalipas ng ilang sandali, isang user mula sa ibang kumpanya ang nagtanong sa AI ng pangkalahatang tanong tungkol sa batas sa pangangalagang pangkalusugan at nakatanggap ng tugon na kinabibilangan ng ilan sa kumpidensyal na impormasyon ng pasyente mula sa nakaraang session.

Ang hypothetical na senaryo na ito ay naglalarawan ng pangunahing panganib. Ang pagtagas ay hindi resulta ng isang malisyosong pag-atake ngunit isang depekto sa pamamahala ng session ng platform. Ang mga mekanismo ng pag-cache, na idinisenyo upang pabilisin ang mga tugon sa pamamagitan ng muling paggamit ng mga kamakailang pag-compute, ay maaaring maging isa pang vector para sa mga pagtagas kung ang naka-cache na data ay hindi mahigpit na ibinubukod ng nangungupahan. Ang mga kahinaang ito ay napakahirap para sa mga tradisyunal na tool sa seguridad tulad ng mga firewall o mga solusyon sa pagsubaybay sa network na matukoy dahil ang pagtagas ng data ay nangyayari sa loob ng naka-encrypt na kapaligiran ng AI application mismo.

Ang Mga Kritikal na Kakulangan sa Paghihiwalay ng Modelo

Ang epektibong paghihiwalay ng modelo ay ang prinsipyong ginagarantiyahan na ang pakikipag-ugnayan ng bawat nangungupahan sa isang modelo ng AI ay isang ganap na independiyenteng kaganapan sa computational. Ang mga tugon ng modelo para sa isang nangungupahan ay hindi dapat maimpluwensyahan ng data o aktibidad ng isa pa. Ang pagkamit ng perpektong paghihiwalay ng modelo sa isang live, high-traffic na multi-tenant AI environment ay isang mabigat na teknikal na hamon.

Ang isa sa mga pangunahing mahinang punto ay ang pamamahala ng estado. Kapag nagpoproseso ang isang modelo ng AI ng isang prompt, papasok ito sa isang partikular na "estado." Kung ang estadong iyon ay hindi maayos na na-reset sa pagitan ng mga sesyon ng nangungupahan, maaaring magdugo ang impormasyon. Ito ay isang banayad ngunit malakas na kahinaan. Higit pa sa hindi sinasadyang pagkakalantad ng data, ang maling pagkakabukod ng modelo ay lumilikha ng mga pagkakataon para sa mas determinadong mga kalaban. Halimbawa, ang isang malisyosong aktor na tumatakbo bilang isang nangungupahan ay maaaring maglunsad ng isang pag-atake na kilala bilang "modelo poisoning." Sa pamamagitan ng paulit-ulit na pagpapakain sa AI na maingat na ginawa, malisyosong mga input, maaari nilang subukang sirain ang gawi ng modelo para sa lahat ng mga nangungupahan, na magdulot nito upang makabuo ng mali, bias, o nakakapinsalang impormasyon.

Ang isa pang alalahanin ay ang pagtatalo sa mapagkukunan. Sa isang ibinahaging kapaligiran, ang mga nangungupahan ay nakikipagkumpitensya para sa parehong mga mapagkukunan ng computational. Kung ang isang nangungupahan ay nagpasimula ng isang hindi karaniwang gawaing masinsinang mapagkukunan, maaari itong lumikha ng mga hindi inaasahang estado ng system na nagpapababa sa mga garantiya ng paghihiwalay para sa iba pang mga nangungupahan, na humahantong sa hindi mahuhulaan na pag-uugali at mga potensyal na puwang sa seguridad. Ito ay direktang nakaugnay sa hamon ng ligtas na paglalaan ng mapagkukunan.

Ang Kinakailangan ng Walang Kokompromiso na Paghihiwalay ng Data ng Nangungupahan

Habang nakatutok ang paghihiwalay ng modelo sa layer ng pagpoproseso, ang paghihiwalay ng data ng nangungupahan ay tumutugon sa pangunahing seguridad ng data mismo. Ang prinsipyong ito ay nagdidikta na ang data ng bawat nangungupahan ay dapat na ligtas na ihiwalay sa bawat punto ng lifecycle nito: kapag ito ay ipinapadala sa network (in transit), kapag ito ay iniimbak sa mga database o file system (sa pahinga), at habang ito ay aktibong pinoproseso ng AI.

Ang pagkabigo sa paghihiwalay ng data ng nangungupahan ay kadalasang mas direkta at sakuna kaysa sa pagtagas ng session. Isaalang-alang ang isang platform ng AI na nag-iimbak ng data ng customer sa isang malaki, nakabahaging database, na umaasa sa isang field na "tenant_id" sa bawat row upang paghiwalayin ang data. Kung matuklasan ang isang kahinaan tulad ng isang SQL injection, ang isang malisyosong aktor ay maaaring potensyal na lampasan ang lohikal na paghihiwalay na ito at i-query ang data ng bawat customer sa platform. Katulad nito, kung gumagamit ang provider ng shared encryption key para sa maraming nangungupahan, ang isang kompromiso ng key na iyon ay maglalantad ng data ng lahat.

Para sa mga organisasyong tumatakbo sa ilalim ng mahigpit na mga balangkas ng regulasyon tulad ng GDPR, HIPAA, o CCPA, ang paglabag sa paghihiwalay ng data ng tenant ay isang bangungot na senaryo. Ang enterprise, bilang data controller, ay nananatiling legal na mananagot para sa paglabag, kahit na nangyari ito sa isang third-party na platform. Binibigyang-diin nito ang isang mahalagang punto: maaari mong i-outsource ang serbisyo, ngunit hindi mo mai-outsource ang responsibilidad para sa pag-secure ng iyong data. Ginagawa nitong ganap na pangangailangan ang malakas na kasanayan sa seguridad ng SaaS.

Mga Kontrol sa Pag-access: Ang Hindi Natanaw na Gatekeeper

Ang seguridad ng anumang multi-tenant AI platform ay nakadepende din nang husto sa granularity ng mga access control nito. Ito ang mga tuntunin na namamahala sa kung sino ang maaaring gumawa ng ano. Sa kasamaang palad, maraming mga platform ang nag-aalok lamang ng magaspang, hindi sapat na mga kontrol na hindi sumasalamin sa mga kumplikadong pangangailangan sa seguridad ng isang negosyo.

Ang tunay na seguridad ay nangangailangan ng higit pa sa pag-authenticate ng isang user. Nangangailangan ito ng pagpapatupad ng mga patakaran sa mga pagkilos na maaaring gawin ng user sa loob ng application. Halimbawa, maaaring naisin ng isang organisasyon na payagan ang marketing team nito na gumamit ng GenAI tool upang mag-brainstorm ng kopya ng ad ngunit mahigpit na pagbawalan silang mag-upload ng spreadsheet na naglalaman ng personal na data ng lahat ng kanilang mga customer. Maaari bang ipatupad ng AI platform ang partikular na patakarang ito? Sa karamihan ng mga kaso, ang sagot ay hindi. Nakikita ng platform ang isang napatotohanang user mula sa isang nagbabayad na customer at pinapayagan ang pagkilos.

Dito nagiging kritikal ang prinsipyo ng zero trust. Ang bawat aksyon sa loob ng isang session ng AI, bawat prompt, bawat query, bawat pag-upload ng file, ay dapat sumailalim sa pag-verify. Ang pagpapatupad ng naturang butil-butil na mga kontrol sa pag-access ay halos imposible mula sa labas ng application. Dapat ilapat ang patakaran sa punto ng pagkilos, na para sa anumang tool na AI na nakabatay sa web ay ang browser ng user.

Ang Malalim na Panganib ng Maling Secure Resource Allocation

Nasa pinakamalalim na antas ng stack ng teknolohiya ang hamon ng secure na paglalaan ng mapagkukunan. Ito ay tumutukoy sa proseso ng paghahati ng mga pisikal na mapagkukunan ng hardware, mga cycle ng CPU, mga address ng memorya, at isang GPU processing unit, sa iba't ibang mga nangungupahan. Sa isang virtualized cloud environment, ang partitioning na ito ay pinamamahalaan ng isang hypervisor. Kung may mga depekto sa kung paano ipinapatupad ng hypervisor ang paghihiwalay na ito, maaari nitong buksan ang pinto sa mga sopistikadong pag-atake sa side-channel.

Ang pag-atake sa side-channel ay isa kung saan nakakakuha ang isang attacker ng impormasyon hindi sa pamamagitan ng direktang pagsira sa isang encryption algorithm, ngunit sa pamamagitan ng pagmamasid sa mga side effect ng pagpapatupad nito. Halimbawa, maaaring maingat na subaybayan ng isang malisyosong nangungupahan ang mga pattern ng pag-access sa memorya o pagbabagu-bago sa paggamit ng kuryente sa isang nakabahaging pisikal na server. Sa pamamagitan ng pagsusuri sa mga banayad na senyales na ito, maaari silang magpahiwatig ng sensitibong data na pinoproseso ng isa pang nangungupahan na tumatakbo sa parehong hardware. Ang mga pag-atake na ito, na katulad ng konsepto sa kilalang mga kahinaan ng Spectre at Meltdown, ay kilalang-kilala na mahirap tuklasin at pigilan.

Ang panganib ng maling secure na paglalaan ng mapagkukunan ay nagha-highlight sa pinakahuling problema sa tiwala sa multi-tenant na modelo. Hindi mahalaga kung gaano karaming mga tampok ng seguridad ang binuo ng AI provider sa kanilang aplikasyon, ang seguridad ng pinagbabatayan ng hardware at virtualization layer ay higit sa lahat ay isang itim na kahon sa customer. Ang likas na kawalan ng katiyakan na ito ang dahilan kung bakit napakahalaga ng diskarte sa pagtatanggol, na hindi naglalagay ng bulag na tiwala sa provider.

Ang Browser bilang Bagong Security Frontier para sa AI

Dahil sa masalimuot at malalim na naka-embed na mga panganib na ito, paano mababawi ang kontrol ng isang negosyo? Ang sagot ay nakasalalay sa paglipat ng pokus sa seguridad mula sa perimeter ng network patungo sa endpoint kung saan aktwal na pinangangasiwaan ang data: ang browser. Ang mga tradisyunal na tool sa seguridad tulad ng mga firewall at CASB ay bulag sa partikular na nilalaman at konteksto ng mga pakikipag-ugnayan ng user sa loob ng isang naka-encrypt na web session. Makikita nila na ang isang user ay konektado sa isang GenAI platform, ngunit hindi nila makita kung anong impormasyon ang ipinapasok sa isang prompt.

Ang browser ay ang gateway para sa lahat ng data na dumadaloy papunta at mula sa mga SaaS at AI application. Ito ang huling punto ng kontrol bago ibigay ang sensitibong data ng kumpanya sa isang third-party na platform. Ginagawa nitong perpektong lugar ang browser para ipatupad ang patakaran sa seguridad. Ito ang pangunahing prinsipyo sa likod ng Browser Detection and Response (BDR).

Ang isang solusyon tulad ng extension ng browser ng enterprise ng LayerX ay gumagana nang direkta sa loob ng browser, na nagbibigay ng granular na visibility at kontrol sa lahat ng aktibidad ng user. Maaari nitong suriin ang nilalaman ng mga web form, subaybayan ang mga pagkilos na copy-paste, at suriin ang mga pag-upload ng file sa real-time, bago umalis ang data sa endpoint. Gaya ng nakikita sa mga pag-audit sa seguridad ng GenAI ng LayerX, ang kakayahang makita sa panig ng kliyente na ito ay mahalaga para sa pagtugon sa mga panganib ng shadow IT protection at pagtiyak ng komprehensibong seguridad ng SaaS. Nagbibigay-daan ito sa mga security team na ipatupad ang butil-butil na mga kontrol sa pag-access na kulang mismo sa mga platform ng AI.

Naaaksyunan na Depensa sa LayerX: Mula Teorya hanggang sa Practice

Isalin natin ang diskarteng ito sa mga praktikal na aksyon. Paano makakapagtanggol ang isang extension ng browser ng enterprise laban sa mga panganib ng multi-tenant AI?

Pagtuklas ng Shadow AI: Ang unang hamon ay visibility. Ang mga empleyado ay patuloy na gumagamit ng mga bagong tool ng AI nang walang pag-apruba ng IT, na lumilikha ng isang malawak na "shadow SaaS" ecosystem. Nagbibigay ang LayerX ng kumpletong pag-audit ng lahat ng SaaS application, kabilang ang mga hindi sinanction na AI tool na ito, na nagbibigay sa mga security team ng buong larawan ng paggamit ng AI ng kanilang organisasyon at mga nauugnay na panganib.
Pagpapatupad ng Granular Data Loss Prevention (DLP): Sa pagkakaroon ng visibility, pinapayagan ng LayerX ang mga security team na gumawa at magpatupad ng mga patakaran sa DLP na may kaalaman sa konteksto. Isipin ang isang senaryo kung saan sinusubukan ng isang developer na mag-paste ng isang pinagmamay-ariang snippet ng source code sa isang pampublikong tool ng GenAI. Maaaring makita ng LayerX ang pagkilos na ito sa real-time at maaaring i-block ito nang buo, i-redact ang sensitibong code bago ito isumite, o magpakita ng babala sa user, na tinuturuan sila sa patakaran ng kumpanya.
Pag-iwas sa GenAI-Powered Exfiltration: Ang parehong mga kakayahan ay maaaring gamitin upang hadlangan ang mga banta ng insider. Maaaring subukan ng isang malisyosong empleyado na i-exfiltrate ang isang listahan ng customer sa pamamagitan ng pag-paste nito sa isang AI chat at paghiling sa AI na "i-reformat ito." Maaaring tukuyin ng LayerX ang sensitibong data at i-block ang pagkilos, i-log ang kaganapan para sa pagsisiyasat. Nagbibigay ito ng mahalagang pananggalang laban sa paggamit ng AI bilang tool para sa pagnanakaw ng data.
Pag-secure ng File Transfers: Maraming mga tool sa GenAI ang tumatanggap na ngayon ng mga pag-upload ng file. Ito ay isang pangunahing potensyal na channel para sa pagtagas ng data. Maaaring subaybayan ng LayerX ang lahat ng pag-upload ng file sa mga platform ng AI, pag-block ng mga paglilipat ng mga file na naglalaman ng sensitibong impormasyon batay sa pagsusuri ng nilalaman, uri ng file, o iba pang mga kadahilanang nakabatay sa panganib.

Pagbuo ng Matatag na Istratehiya sa Seguridad ng AI

Ang malawakang paggamit ng multi-tenant AI ay isang katotohanan ng modernong negosyo. Habang patuloy na pagpapabuti ng mga provider ang kanilang mga hakbang sa seguridad, hindi kayang gawin ng mga organisasyon ang isang pasibong diskarte. Ang responsibilidad para sa pagprotekta sa data ng kumpanya, mula sa pagtagas ng session ng GenAI hanggang sa paglabag sa paghihiwalay ng data ng tenant, sa huli ay nakasalalay sa enterprise.

Ang isang nababanat na diskarte sa seguridad para sa panahon ng AI ay dapat na maagap, at dapat itong nakasentro sa browser. Sa pamamagitan ng pag-deploy ng isang extension ng browser ng enterprise, ang mga pinuno ng seguridad ay maaaring lumampas sa mga limitasyon ng tradisyonal na mga tool at makakuha ng granular visibility at kontrol na kailangan upang paganahin ang ligtas, produktibong paggamit ng GenAI. Hindi ito tungkol sa pagharang ng access sa mga makapangyarihang tool na ito; ito ay tungkol sa pamamahala ng kanilang paggamit nang matalino. Sa pamamagitan ng pag-secure sa browser, kumpiyansa na matutuklasan ng mga organisasyon ang mga benepisyo ng AI, dahil alam nilang mayroon silang matatag na huling linya ng depensa na nagpoprotekta sa kanilang pinakamahalagang asset: ang kanilang data.

O si Eshed

O si Eshed ay ang Co-Founder at CEO ng Browser Security platform na LayerX, na may mahigit isang dekada ng karanasan sa cybersecurity, artificial intelligence, at information warfare.

Seguridad sa Paggamit ng AI

Seguridad ng Enterprise Browser

Ulat sa Seguridad ng LayerX Enterprise GenAI 2025

Kasosyo

Tungkol sa amin

Ulat sa Seguridad ng LayerX Enterprise GenAI 2025

Mga mapagkukunan

Database ng Mga Extension

Blog at Podcast

Enterprise Browser

Seguridad ng AI

LayerX vs Mga Kakumpitensya

Mga Kaugnay na Mapagkukunan