RAG sistemi u enterprise SaaS-u - kako zaštititi AI agenata od napada kroz kontekstne podatke
Enterprise RAG sistemi u SaaS proizvodi otvaraju nove bezbednosne rizike - od prompt injection napada do poisoning baza podataka i cross-tenant curenja informacija.
Šta se desilo?
Preduzeca sve više integruju AI agente u svoje SaaS proizvode, ali da bi ti agenti bili efikasni, moraju pristupati specifičnim korporativnim podacima kroz RAG (Retrieval-Augmented Generation) sisteme. Ova tehnologija stvara značajne bezbednosne rizike - od curenja podataka između tenanta do neovlašćene eksfiltracije poverljivih informacija preko prompt injection napada. Poslednjih meseci dokumentovano je nekoliko ozbiljnih incidenata koji pokazuju ozbiljne ranjivosti u enterprise AI integracjama.
Koga pogađa?
Rizik pogađa sve velika preduzeća koja koriste SaaS rešenja sa AI mogućnostima, posebno one u finantsijskom, zdravstvenom i tehnološkom sektoru. Ugroženi su prvenstveno multi-tenant okruženja gde loša arhitektura može omogućiti pristup podatcima drugih korisnika. Takođe su rizični razvojni timovi čiji AI alati mogu biti iskorišćeni za neovlašćeni pristup sistem resursima.
Kako se zaštititi?
- Primeni zero-trust pristup čitavom ciklusu životnog veka podataka u RAG sistemu
- Implementiraj Data Loss Prevention (DLP) alate na nivou ingestion pipeline-a da sprečiš skladištenje osetljivih podataka
- Proveri i otvori sve javne izvore podataka koje koristi RAG - posebno GitHub repozitorijume koje čita AI asistent
- Obezbedi stroga pristupna kontrola na nivou metadata-a u vektor bazama podataka
- Redovno testiraj prompt injection otpornost kroz posebne sigurnosne testove
- Monitoruj vektor baze za neobične pristupe i pokušaje embedding inversion napada
- Primeni enkriptovanje podataka u mirovanju i tokom transporta kroz RAG pipeline
- Koristi fizičku separaciju ili stroga logička izdvajanja za podatke različitih korisnika u multi-tenant okruženjima
Tehnički detalji
RAG pipeline se sastoji od tri kritične faze: (1) Ingestion - podaci iz ERP, CRM i repositories se čiste i konvertuju u vektore; (2) Storage - vektori se skladište u specijalnim bazama (Pinecone, Milvus, ElasticSearch) sa metapodacima pristupa; (3) Generation - preuzeti kontekst se kombinuje sa upitom korisnika za LLM. Glavne ranjivosti uključuju direktnu i indirektnu prompt injection, knowledge base poisoning gde se lažni podaci ubacuju u ingestion pipeline, embedding inversion napad koji može rekonstruisati originalne tekstove iz vektora, i cross-tenant kontaminaciju gde jedan korisnik može pristupiti drugom putem semantičke pretrage. Dokumentovani incidenti uključuju EchoLeak vunerabilnost (kasno 2025) koja je omogućila eksfiltraciju podataka preko Microsoft 365 Copilot bez aktivacije korisnika, exposure API ključeva za vektor baze (2024-2025) sa pristupom financijskim portfolijima i zdravstvenim zapisima, indirektnu prompt injection kroz GitHub README datoteke u Cursor IDE (avgust 2025), i knowledge base poisoning operaciju (mart 2026) koja je naplavljala eksterne baze sa manipulisanim podacima.
Preporuka Sajber Radara
Organizacijama koje koriste RAG sisteme preporučujemo hitan pregled kompletne arhitekture svojih AI pipeline-a, mapiranje izvora podataka koji se koriste, i implementaciju defense-in-depth strategije sa posebnim fokusom na kontrolu pristupa i monitorovanje podataka kroz sve faze. Odgovor na ove rizike mora biti sistemski i proaktivan, a ne reaktivan nakon što dođe do incidenta.