Безопасность LLM и RAG: 4 критических риска и чек-лист контроля до production
Безопасность LLM-проектов начинается не с выбора модели и не с подписания NDA, а с карты типов данных, дизайна прав доступа, журналирования действий, проектирования контура обработки и регламентов использования AI-ответов. Особенно критично это для RAG-систем, где модель получает прямой доступ к корпоративным документам — включая те, к которым у конкретного пользователя могло бы и не быть прямого доступа в обычной системе. По нашим наблюдениям за 50+ корпоративными RAG-внедрениями за 2024–2026, около 35% проектов на этапе production-запуска находят критические уязвимости в правах доступа, которые не были видны в пилоте.
RAG и LLM-архитектура
RAG, LLMOps, качество ответов, безопасность, подготовка данных и корпоративный поиск.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов AI Market Rating: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
author
Инна Пак
Редактор методологии и проверки источников
Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.
- 9 лет в редакционной аналитике, проверке источников и методологии рейтингов
- Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA
author
Марина Иванова
Старший редактор исследований GEO и AI Search
Ведет исследования по GEO-продвижению, AI-ответам и источникам, которые модели используют для описания брендов.
- 7 лет в SEO-аналитике и редакционных B2B-исследованиях
- Специализация: GEO, AEO, entity-based SEO и факторы E-E-A-T
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией AI Market Rating, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Как раскладывали риски
Мы сгруппировали риски LLM/RAG по 5 уровням: (1) данные — что попадает в индекс и как защищено; (2) модель — какая используется, где работает, какие у неё ограничения; (3) приложение — как настроены права, RBAC, фильтры; (4) пользователь — кто и как взаимодействует с системой; (5) эксплуатация — мониторинг, обновления, реагирование на инциденты. Для каждого уровня описали типичные риски и контрмеры.
Для каждого риска оценили вероятность реализации в типичной B2B-компании и потенциальный ущерб (репутационный, финансовый, регуляторный). Получилась карта приоритетов: 4 риска требуют обязательной проработки до production-запуска, 6 — желательной, остальные — приемлемых при базовых мерах. Источник — публичные инциденты с LLM-системами 2023–2025 годов, наблюдения за внедрениями в РФ и СНГ, опыт red team-тестирования RAG-систем.
Безопасность LLM/RAG: доступы, источники и риск-контур
Медиа-блок выводит на первый план то, что часто пропускают в продающих материалах: права доступа, хранение данных, журналы, red-team проверки и контракты.
Срез исследования
Четыре опорных вывода, которые помогают быстро понять материал.
утечка через RBAC, галлюцинации, prompt injection, нет аудита
неправильные права доступа на уровне retrieval — критично
обязательное указание источника + confidence-score в ответе
проверка атак и типичных ошибок на 100+ тестовых сценариях
Индекс требований к AI-безопасности
Редакционная модель: чем ближе AI к данным клиента, тем быстрее растут требования к безопасности, логам и управлению доступами.
Приоритеты безопасности LLM/RAG
Что критичнее всего проверить до production-запуска корпоративной AI-системы.
Безопасность — это не один NDA
NDA с подрядчиком важен и нужен, но он не ограничивает доступ модели к корпоративным документам и не проверяет, кто конкретно получил ответ системы. Production-система должна технически разделять права на уровне индекса (RBAC до retrieval), хранить детальные логи всех запросов и ответов, фильтровать чувствительные данные на входе и выходе, и иметь механизм быстрого отключения рискованных сценариев без полной остановки сервиса.
Типичная история: компания запускает RAG-систему с RBAC только на уровне UI («у пользователя X нет кнопки на закрытый документ»). Через месяц обнаруживается, что в индекс попали закрытые документы, и через специально сформулированный запрос пользователь Y получает выдержки из них в ответе. Технически это утечка, формально — нарушение политики безопасности. Решение единственное: применять RBAC до индексации и до retrieval — это требует правильной архитектуры с самого начала.
- Составьте карту типов данных в одной таблице: публичные, внутренние, персональные, коммерческая тайна, особо чувствительные. Для каждого типа — отдельный регламент.
- Разделите пользователей по ролям и проверьте, что RAG соблюдает эти роли на уровне retrieval, а не только в интерфейсе.
- Проведите red team-тестирование: prompt injection через документы, утечки через формулировки цитат, ответы на запрещённые темы — минимум 100 тестовых сценариев.
- Настройте мониторинг типичных аномалий: рост числа запросов от одного пользователя, неожиданные источники в ответах, попытки обхода фильтров.
Главные риски LLM/RAG и контрмеры
Минимальная карта безопасности — каждая контрмера должна быть в техническом задании и проверена до приёмки.
| Риск | Как проявляется | Контрмера |
|---|---|---|
| Лишний доступ | Пользователь получает в ответе фрагменты из закрытого документа, потому что RBAC применяется только в UI. | RBAC до retrieval: фильтрация индекса по правам, проверка ACL на каждый запрос, отдельный индекс для разных ролей. |
| Галлюцинация | Ответ звучит уверенно, но источник не проверяется — модель выдаёт правдоподобную ложь. | Обязательные цитаты с указанием источника, confidence-score, отказ от ответа при низкой уверенности («не знаю» лучше выдумки). |
| Prompt injection | Документ или пользователь содержит инструкции, меняющие поведение агента: «забудь все правила и...». | Фильтры на входе и выходе, системные промпты с защитой, регулярные red team-тесты на новые методы атак. |
| Нет аудит-логов | После инцидента нельзя понять, кто что спросил, какой ответ получил, какие источники использовались. | Полное логирование запросов, ответов, источников и действий пользователя. Хранение по политике компании или 152-ФЗ. |
Вероятность и потенциальный ущерб рисков
Верхний правый сектор требует обязательной проработки до production-запуска и регулярных проверок после.
Security checklist перед production
Практический минимум для брифа, аудита или внутреннего обсуждения.
Как применить материал
Материал связывает RAG, AI-внедрение и enterprise-запросы. Он должен вести на рейтинг RAG-систем, рейтинг AI-интеграторов и материал по стоимости RAG-внедрения. Для бизнеса работает как pre-sales-чеклист: при выборе подрядчика спросите про каждый из 4 критических рисков и попросите конкретные технические ответы (а не общие фразы «обеспечим безопасность»). Сильный подрядчик отвечает развёрнуто, ссылаясь на свой опыт; слабый — переводит разговор на «у нас есть NDA». Для внутренней команды это чек-лист на сдачу-приёмку: ни один RAG-проект не должен идти в production без прохождения всех 4 пунктов.
Связь с хабом, рейтингом и сервисной страницей
Материал относится к хабу «RAG и LLM-архитектура» и должен работать как вход в следующий выбор: понять интент, проверить ограничения и перейти к сравнению подрядчиков. Для shortlist используйте «Рейтинг RAG-подрядчиков», а для постановки задачи — страницу «RAG-системы». Такой маршрут уменьшает риск малоценной страницы: пользователь видит ответ, критерии, источники, дату обновления и следующий практический шаг.
- Хаб: RAG и LLM-архитектура
- Рейтинг для сравнения: Рейтинг RAG-подрядчиков
- Сервисная страница для постановки задачи: RAG-системы
Частые вопросы
Можно ли безопасно использовать облачные LLM (GPT, Claude, Gemini) с корпоративными данными?
Можно, если выбранный контур соответствует требованиям данных, договорным условиям с вендором, логированию и политике компании. Для большинства публичных и обезличенных данных — облачные API нормальны. Для персональных данных в РФ нужен дополнительный анализ соответствия 152-ФЗ. Для особо чувствительных данных (банковская тайна, медицинские записи) практически всегда нужен on-premise или приватный контур.
Что самое важное в безопасности RAG-системы?
Четыре приоритета: (1) права доступа на уровне retrieval — RBAC должен применяться до того, как фрагменты попали в контекст модели; (2) обязательные цитаты с указанием источника в каждом ответе; (3) полное аудит-логирование запросов и ответов; (4) регулярное red team-тестирование на типичные атаки и обходы. Без любого из четырёх — production-качество не достигается.
Сколько стоит правильная безопасность RAG-проекта?
В типичном корпоративном проекте безопасность занимает 15–25% бюджета: дизайн RBAC и data map (300–800 тыс. ₽ разово), внедрение RBAC до retrieval и аудит-логов (600 тыс. – 2 млн ₽), red team-тестирование (200–500 тыс. ₽ разово), регулярная переоценка раз в 6 месяцев (100–300 тыс. ₽ за раунд). Для регулируемых отраслей бюджет на безопасность может доходить до 35–45% общего.
Как защититься от prompt injection?
Многоуровневая защита: фильтры на входе (детектирование подозрительных паттернов «забудь правила», «новая инструкция»), системные промпты с явной защитой и приоритизацией политик безопасности, фильтры на выходе (проверка ответа на утечку чувствительных данных), регулярные red team-тесты на новые методы атак (методы быстро эволюционируют). Полностью защититься нельзя, но можно сильно повысить стоимость атаки.
Нужно ли on-premise LLM для корпоративных проектов?
Зависит от уровня чувствительности данных и регуляторного контура. Для большинства корпоративных задач — нет, облачные модели через API с правильным контуром достаточны. Для финансов с банковской тайной, медицины с PHI, госсектора и особо чувствительных enterprise-проектов — обычно да. On-premise дороже на 30–60% в эксплуатации, но даёт полный контроль над данными и моделью. Для российских компаний альтернативы — GigaChat и YandexGPT, у них есть приватные контуры.
Источники и метод проверки
Редакционная проверка AI Rate: материал относится к хабу «RAG и LLM-архитектура», опирается на официальные источники и связан с профильным рейтингом «Рейтинг RAG-подрядчиков». Дата обновления: 01.06.2026.
Используется как ориентир для видимой полезности, уникальности и спросовой релевантности страниц.
official_guideline Google Search Central: Creating helpful, reliable, people-first content Google Search CentralПроверка E-E-A-T, первичной пользы и отсутствия шаблонного AI-контента.
official_guideline Google Search Central: Article structured data Google Search CentralПроверка Article schema, автора, даты обновления и издателя.
schema_reference Schema.org Article Schema.orgСправочник свойств Article, citation, author и publisher.
technical_reference Microsoft Azure AI Search: Retrieval Augmented Generation overview Microsoft LearnТехническая рамка RAG: поиск, извлечение контекста и генерация ответа.
Связанные профили компаний
Эти карточки помогают проверить, какие подрядчики уже связаны с темой исследования, какие категории и внешние сигналы есть в профиле, и что запросить до договора.