Scanner DAST LLM

Testez dynamiquement les fonctionnalités de grand modèle linguistique (LLM) au sein de vos applications pour la divulgation d'informations sensibles, l'injection d'invite, l'exfiltration de données, l'utilisation abusive d'outils, les violations de politiques de contenu, et bien plus encore avant que des attaquants ne les exploitent. Configurez AppScan pour cibler les nœuds finaux de discussion, les pipelines RAG (génération à enrichissement contextuel) et d'autres composants LLM, puis passez en revue les résultats reproductibles avec des transcriptions complètes et des conseils de résolution.

Remarque : Le scanner DAST LLM est une fonction innovante : son flux de travaux peut changer sans préavis. Bien qu'il soit actuellement inclus avec une licence AppScan Standard, un accès ultérieur peut nécessiter l'achat d'une licence distincte.

Grands modèles linguistiques (LLM)

Les LLM sont des réseaux neuronaux formés sur des corps de texte étendus pour comprendre et générer un langage naturel pour des tâches telles que la discussion, le résumé et la génération de code.

Les intégrations avec des outils externes et des sources de données (par exemple, la génération à enrichissement contextuel (RAG) et les plug-ins) étendent les capacités, mais introduisent également des risques, notamment l'injection d'invite, l'exposition des données sensibles et les actions involontaires. Des tests et des contrôles robustes sont nécessaires.

Scanner AppScan DAST LLM

Les vulnérabilités LLM peuvent exposer des données sensibles, déclencher des actions d'API ou d'outil non autorisées, manipuler les sorties et perturber les services. Ces problèmes nuisent à la sécurité, à la fiabilité et à la conformité.

Pour une compréhension détaillée des principales catégories de risque et des modèles d'attaque, consultez le Top 10 de l'OWASP pour les applications LLM. Cette ressource décrit les menaces critiques telles que l'injection d'invite, l'exfiltration de données, l'empoisonnement des données d'entraînement et l'abus de modèles.

Le scanner AppScan DAST LLM permet de résoudre ces risques de sécurité en permettant la configuration et le test des vulnérabilités basées sur un LLM. Cela permet de valider les défenses et de prévenir l'exploitation. En activant le LLM dans les examens DAST, les risques potentiels peuvent être identifiés et corrigés dès le début du cycle de développement.

Résumé de la couverture

AppScan DAST met en pratique vos flux de travaux LLM de bout en bout et inspecte le comportement et les réponses pour détecter les problèmes, notamment :

  • Tentatives d'injection d'invite et de jailbreak

  • Divulgation de données sensibles et exfiltration de données

  • Abus d'appel de fonctions/d'outils et actions non autorisées

  • Menaces de génération à enrichissement contextuel (RAG), y compris la manipulation de récupération

  • Configurations incorrectes de l'accès au magasin de données

  • Exécution de code et injection de commande shell

Limitations

  • Les sorties LLM ne sont pas déterministes. Les réexécutions peuvent produire des résultats différents.
  • Les limites de débit côté fournisseur et les filtres de sécurité peuvent affecter la couverture.