LLM テストを検証するための AppScan の構成

機密情報の開示、プロンプト・インジェクション、データ窃取、ツール悪用、コンテンツ・ポリシー違反などのリスクがないか、アプリケーション内の大規模言語モデル (LLM) 機能を動的にテストするように AppScan を構成します。チャット・エンドポイント、検索拡張生成 (RAG) パイプライン、その他の LLM コンポーネントをターゲットとして、再現可能な検出結果を完全なトランスクリプトと修復のガイダンスと合わせてレビューします。

設定

詳細
LLM 構成の有効化 統合 LLM を使用するアプリケーションの LLM スキャンを有効または無効にするには、このトグルを使用します。
OpenAI の構成 LLM のリスクをスキャンしてレポートするには、OpenAI エンドポイントと API キーを構成する必要があります。詳しくは、「Azure OpenAI の構成」を参照してください。
LLM シーケンスの記録
LLM シーケンスの記録 お使いの LLM サービスの URL に移動します。プロンプトに「test」と入力して送信します。必要に応じてプロンプトを追加できます。終了したら、録画を停止します。AppScan の組み込みブラウザーを使用して記録できます。問題が発生した場合は、「ツール」>「オプション」>「外部ブラウザーの使用」で外部ブラウザーを有効にして、外部ブラウザーを使用できます:
  • 「AppScan ブラウザー (推奨)」
    • ログインせずに記録
    • ログインして記録
  • 外部ブラウザー (選択したブラウザーの名前)
シーケンスの編集 AppScan は、次のロールを自動的に検出します: 「プロンプト」、「送信」、および「応答」フィールド。
  • プロンプト: ユーザーが LLM に送信する入力テキスト。
  • 送信: LLM にプロンプトを送信するユーザー・アクション (「送信」をクリックするか、Enter キーを押すなど)。
  • 応答: LLM の出力は、分析のため AppScan によってキャプチャーされます。

    AppScan がこれらのフィールドを検出できない場合は、エラー・メッセージが表示されます。シーケンスを編集して再生を修正し、「適用」をクリックします。次に、「解析の実行」をクリックして、ロールを自動的に検出できます。

    例えば、送信アクションが記録されていない場合、次のように再生を修正できます。
    1. 「シーケンスの編集」をクリックし、プロンプト・アクションを右クリックして、「選択した項目の後に送信キー・アクションを追加」 > 「Enter」 をクリックした後、「適用」をクリックします。
    2. 「解析の実行」をクリックします。送信アクションが自動的に検出され、再生が正常に動作していることが確認できます。
解析の実行 再生を修正したら、「解析の実行」を行い、自動的にロールを検出できます。
シーケンス再生前にログイン AppScan では、このチェックボックスはデフォルトで「ログインして記録」オプションを選択した場合に適用されます。
詳細オプション
データベースに接続済み
データベースに接続されたテーブル名を入力して、LLM サービスのデータベース攻撃対象領域を完全にマッピングおよびテストします。AppScan はこの情報を使用して、インジェクション攻撃をシミュレートし、不正なデータ・アクセスを許可する可能性のある脆弱性を特定します。
  • テーブル名