Configuration de LLM pour valider les tests LLM

Configurez AppScan pour tester dynamiquement les fonctionnalités de grand modèle linguistique (LLM) dans vos applications pour détecter les risques tels que la divulgation d'informations sensibles, l'injection d'invite, l'exfiltration de données, l'utilisation abusive d'outils et les violations de stratégie de contenu. Ciblez les nœuds finaux de discussion, les pipelines de génération à enrichissement contextuel (RAG) et d'autres composants LLM, puis passez en revue les résultats reproductibles avec un historique des interactions LLM et des conseils de résolution.

Paramètre

Détails
Configuration LLM activée Utilisez le commutateur pour activer ou désactiver l'examen LLM pour les applications intégrant des LLM.
Configurer OpenAI Pour examiner et signaler les risques LLM, vous devez configurer le nœud final OpenAI et la clé API. Pour plus d'informations, voir Configurer Azure OpenAI.
Enregistrer la séquence LLM
Enregistrer la séquence LLM Accédez à l'URL de votre service LLM. Saisissez « test » comme invite et validez. Vous pouvez ajouter des invites supplémentaires si nécessaire. Lorsque vous avez terminé, arrêtez l'enregistrement. Vous pouvez enregistrer avec le navigateur intégré AppScan. Si vous rencontrez des problèmes, vous pouvez utiliser un navigateur externe, à condition que vous l'ayez activé via Outils > Options > Utiliser un navigateur externe :
  • Navigateur AppScan (recommandé)
    • Enregistrer sans vous connecter
    • Connecter, puis enregistrer
  • Navigateur externe (nom du navigateur sélectionné)
Modifier la séquence AppScan détecte automatiquement les rôles : Champs Invite, Soumettre et Réponse.
  • Invite : Le texte d'entrée soumis par un utilisateur à un LLM.
  • Soumettre : Action de l'utilisateur qui envoie une invite au LLM (par exemple, en cliquant sur Envoyer ou en appuyant sur Entrée).
  • Réponse : Sortie de LLM capturée par AppScan pour analyse.

    Si AppScan ne détecte pas ces champs, un message d'erreur s'affiche. Cliquez sur Modifier la séquence et corrigez la lecture, puis cliquez sur Appliquer. Vous pouvez ensuite cliquer sur Exécuter l'analyse pour détecter automatiquement les rôles.

    Par exemple, si l'action de soumission n'a pas été enregistrée, vous pouvez corriger la lecture comme suit :
    1. Cliquez sur Modifier la séquence, cliquez avec le bouton droit de la souris sur l'action Invite et cliquez sur Ajouter une action clé d'envoi après l'élément sélectionné > Entrée, puis cliquez sur Appliquer.
    2. Cliquez sur Exécuter l'analyse. Vous pouvez voir que l'action Soumettre est détectée automatiquement et que la lecture fonctionne correctement.
Exécuter l'analyse Une fois la lecture corrigée, vous pouvez Exécuter l'analyse pour détecter automatiquement les rôles.
Se connecter avant la lecture de la séquence Par défaut, AppScan coche cette case lorsque vous sélectionnez l'option Se connecter, puis Enregistrer.
Options avancées
Connecté à une base de données
Indiquez le nom de la table connectée à la base de données pour mapper et tester entièrement la surface d'attaque de la base de données du service LLM. AppScan utilise ces informations pour simuler les attaques par injection et identifier les vulnérabilités qui pourraient permettre un accès non autorisé aux données.
  • Nom de la table