Приватность данных и утечка PII

Узнай, как LLM запоминают и раскрывают персональные данные, и как защитить их с помощью PII scrubbing, self-hosting и differential privacy

Проблема: Ваше LLM-приложение обрабатывает данные клиентов — имена, email, медицинские записи, финансовую информацию. Как предотвратить утечку через модель, логи API или атаки prompt injection?

Решение: Построй pipeline защиты приватности

LLM создают уникальные риски приватности: они могут запоминать обучающие данные (включая личную информацию), утекать пользовательские вводы через атаки prompt injection и отправлять конфиденциальные данные стороннему API при каждом вызове. В отличие от обычного ПО, где потоки данных явные, LLM создают неявные потоки, которые сложно аудировать и контролировать.

Представьте это как сейф в отеле — вы доверяете отелю (API-провайдеру) свои ценности, но настойчивый вор (атакующий) может найти способ. Self-hosting — это сейф у вас дома:

1. Классифицируй чувствительность данных: Определи какие PII обрабатывает приложение: имена, email, SSN, медицинские записи, финансовые данные. Каждый тип имеет разные регуляторные требования (GDPR, HIPAA, CCPA)
2. Очисти PII перед отправкой в LLM: Используй инструменты вроде Microsoft Presidio или regex-паттерны для обнаружения и маскирования PII. Замени "Иван Петров, ivan@email.com" на "[NAME_1], [EMAIL_1]" перед вызовом API
3. Фильтруй ответы модели: Сканируй ответы LLM на PII перед возвратом пользователям. Модель может галлюцинировать реальные номера телефонов или воспроизводить запомненные данные. Постобработка ловит эти утечки
4. Выбери API vs Self-hosting: Высокая чувствительность (медицина, финансы): self-host open-source моделей — данные не покидают серверы. Низкая: API с PII scrubbing допустим. Проверяй политику хранения данных провайдера

Категории рисков приватности

Запоминание обучающих данных: LLM могут запоминать и воспроизводить PII из обучающих данных — имена, email, телефоны, адреса. GPT-2 воспроизводил реальные номера телефонов и email при правильном промптинге. Крупные модели запоминают больше
Утечка данных через промпт: Indirect prompt injection может заставить модель отправить данные пользователя на URL злоумышленника. Пример: скрытые инструкции на веб-странице говорят модели закодировать данные в URL и "суммаризировать" его
PII в логах API: Каждый API-вызов отправляет данные провайдеру. Промпты с данными клиентов, медицинскими записями или финансовой информацией хранятся в логах. Проверяйте политику хранения — некоторые хранят логи 30 дней
Регуляторное соответствие: GDPR (ЕС): право на удаление — но нельзя удалить данные из обученной модели. HIPAA (медицина): PHI должны оставаться on-premise. CCPA (Калифорния): пользователи могут отказаться. Штрафы до 4% годового оборота

Интересный факт: Исследователи извлекли более 600 реальных запомненных примеров из GPT-2 (1.5B параметров) простыми техниками промптинга. У GPT-3 (175B) extraction rate был ещё выше. Чем больше модель, тем больше она запоминает — и потенциально утекает.

Попробуйте сами!

Изучи интерактивный PII detection pipeline ниже, чтобы увидеть, как защита данных работает на практике.

Запоминание обучающих данных

LLM запоминают PII из обучающих данных — имена, email, телефоны, адреса. GPT-2 воспроизводил реальные контактные данные. Чем больше модель, тем больше запоминает.

Утечка через промпт

•Indirect prompt injection: скрытые инструкции заставляют модель утечь данные
•API логи: каждый вызов отправляет данные провайдеру
•Контекст атаки: модель может включить PII в «безобидный» ответ

Методы защиты

•PII Scrubbing: маскирование перед отправкой (Presidio, regex)
•Self-Hosting: данные не покидают серверы (Llama, DeepSeek)
•Output Filtering: сканирование ответов на PII
•Differential Privacy: математический шум при обучении

Регуляции

•GDPR (ЕС): право на удаление, но нельзя «забыть» данные из модели
•HIPAA (медицина): PHI должны оставаться on-premise
•CCPA (Калифорния): право opt-out из сбора данных
•Штрафы: до 4% годового оборота за несоблюдение

PII Detection & Методы защиты

Здравствуйте, меня зовут John Smith (john.smith@company.com, +1-555-0123). Мой SSN 123-45-6789. У меня диагностирован диабет, живу по адресу 123 Main St, NYC.

high

Name

John Smith

high

john.smith@company.com

high

Phone

+1-555-0123

critical

SSN

123-45-6789

critical

Medical

diagnosed with diabetes

medium

Address

123 Main St, NYC

Практика

Создайте бесплатный аккаунт для решения челленджей

3 челленджей с AI-проверкой для этого урока

Связанные уроки:Prompt Injection Alignment

Этот урок — часть структурированного курса по LLM.

Мой путь обучения

Приватность данных и утечка PII

Решение: Построй pipeline защиты приватности

Представьте это как сейф в отеле — вы доверяете отелю (API-провайдеру) свои ценности, но настойчивый вор (атакующий) может найти способ. Self-hosting — это сейф у вас дома:

1. Классифицируй чувствительность данных: Определи какие PII обрабатывает приложение: имена, email, SSN, медицинские записи, финансовые данные. Каждый тип имеет разные регуляторные требования (GDPR, HIPAA, CCPA)
2. Очисти PII перед отправкой в LLM: Используй инструменты вроде Microsoft Presidio или regex-паттерны для обнаружения и маскирования PII. Замени "Иван Петров, ivan@email.com" на "[NAME_1], [EMAIL_1]" перед вызовом API
3. Фильтруй ответы модели: Сканируй ответы LLM на PII перед возвратом пользователям. Модель может галлюцинировать реальные номера телефонов или воспроизводить запомненные данные. Постобработка ловит эти утечки
4. Выбери API vs Self-hosting: Высокая чувствительность (медицина, финансы): self-host open-source моделей — данные не покидают серверы. Низкая: API с PII scrubbing допустим. Проверяй политику хранения данных провайдера

Категории рисков приватности

Запоминание обучающих данных: LLM могут запоминать и воспроизводить PII из обучающих данных — имена, email, телефоны, адреса. GPT-2 воспроизводил реальные номера телефонов и email при правильном промптинге. Крупные модели запоминают больше
Утечка данных через промпт: Indirect prompt injection может заставить модель отправить данные пользователя на URL злоумышленника. Пример: скрытые инструкции на веб-странице говорят модели закодировать данные в URL и "суммаризировать" его
PII в логах API: Каждый API-вызов отправляет данные провайдеру. Промпты с данными клиентов, медицинскими записями или финансовой информацией хранятся в логах. Проверяйте политику хранения — некоторые хранят логи 30 дней
Регуляторное соответствие: GDPR (ЕС): право на удаление — но нельзя удалить данные из обученной модели. HIPAA (медицина): PHI должны оставаться on-premise. CCPA (Калифорния): пользователи могут отказаться. Штрафы до 4% годового оборота

Попробуйте сами!

Изучи интерактивный PII detection pipeline ниже, чтобы увидеть, как защита данных работает на практике.

Запоминание обучающих данных

Утечка через промпт

•Indirect prompt injection: скрытые инструкции заставляют модель утечь данные
•API логи: каждый вызов отправляет данные провайдеру
•Контекст атаки: модель может включить PII в «безобидный» ответ

Методы защиты

•PII Scrubbing: маскирование перед отправкой (Presidio, regex)
•Self-Hosting: данные не покидают серверы (Llama, DeepSeek)
•Output Filtering: сканирование ответов на PII
•Differential Privacy: математический шум при обучении

Регуляции

•GDPR (ЕС): право на удаление, но нельзя «забыть» данные из модели
•HIPAA (медицина): PHI должны оставаться on-premise
•CCPA (Калифорния): право opt-out из сбора данных
•Штрафы: до 4% годового оборота за несоблюдение

PII Detection & Методы защиты

high

Name

John Smith

high

john.smith@company.com

high

Phone

+1-555-0123

critical

SSN

123-45-6789

critical

Medical

diagnosed with diabetes

medium

Address

123 Main St, NYC

Практика

Создайте бесплатный аккаунт для решения челленджей

3 челленджей с AI-проверкой для этого урока

Связанные уроки:Prompt Injection Alignment

Этот урок — часть структурированного курса по LLM.

Мой путь обучения