¿Cuáles son los riesgos de cadena de suministro al usar LLM y componentes de terceros?
Respuesta breve
La cadena de suministro de LLM abarca modelos base, variantes fine-tuneadas, datasets, embeddings, plugins, librerías y la plataforma de alojamiento, cada uno un lugar para introducir riesgo. Las amenazas incluyen descargar pesos de modelo manipulados o con backdoor, fine-tunes maliciosos, datasets envenenados o con licencia contaminada, plugins vulnerables o sobreprivilegiados, y repos de modelos con typosquatting. Defensas: obtener modelos de registros de confianza, verificar integridad y procedencia, mantener un AI bill of materials, escanear y fijar dependencias, verificar plugins y aplicar mínimo privilegio a todo lo que el modelo integre.
Casi nadie entrena un modelo de frontera desde cero, así que la mayoría de las aplicaciones LLM heredan una cadena de suministro profunda y opaca: un modelo base, posiblemente un fine-tune comunitario, datasets, embeddings, un almacén de vectores, plugins o herramientas, frameworks de servicio y la plataforma de alojamiento. Cada eslabón puede introducir riesgo, y OWASP clasifica la cadena de suministro como un riesgo principal de LLM con buena razón.
Por dónde entra el riesgo
- Pesos de modelo. Los pesos descargados pueden estar manipulados o llevar un backdoor implantado. Algunos formatos de serialización pueden ejecutar código al cargarse, así que cargar un artefacto no confiable es en sí mismo peligroso.
- Fine-tunes y adaptadores. Un fine-tune comunitario malicioso o un adaptador LoRA puede alterar el comportamiento o colar un backdoor mientras aparenta ser el popular modelo base.
- Datasets. Los datasets de terceros pueden estar envenenados, sesgados o llevar contaminación legal o de licencia.
- Plugins y herramientas. Plugins sobreprivilegiados o vulnerables amplían el alcance del modelo y la superficie de ataque.
- Typosquatting. Repos falsos de modelos o paquetes que imitan nombres de confianza.
Controles
- Obtener de registros de confianza y verificar integridad y procedencia (firmas, hashes).
- Mantener un AI bill of materials (AI BOM) para conocer cada modelo, dataset y dependencia en uso.
- Preferir serialización segura y escanear los artefactos antes de cargarlos.
- Fijar y escanear dependencias; verificar plugins y aplicar mínimo privilegio a sus accesos.
- Monitorización continua de vulnerabilidades recién divulgadas en modelos y componentes.
Qué buscan los entrevistadores
Una visión de la cadena de suministro más allá del mero «modelo» —datasets, fine-tunes, plugins, serialización— más una gobernanza concreta como la verificación de procedencia y un AI BOM.
Posibles preguntas de seguimiento
- ¿Cómo ayudaría aquí un AI bill of materials (AI BOM)?
- ¿Cuál es el riesgo de cargar pesos de modelo en un formato de serialización inseguro?
- ¿Cómo verificas un plugin LLM de terceros antes de habilitarlo?