DAST LLM 扫描程序

大语言模型 (LLM)

LLM 是基于海量文本语料训练的神经网络，能够理解并生成自然语言，可用于聊天、生成摘要、生成代码等任务。

与外部工具和数据源（例如，检索增强生成 (RAG) 和插件）的集成可扩展功能，但也会带来风险，包括提示注入、敏感数据泄露和意外操作。需要进行可靠的测试和控制。

AppScan DAST LLM 扫描程序

LLM 漏洞可能暴露敏感数据、触发未经授权的工具或 API 操作、操纵输出和中断服务。这些问题会破坏安全性、可靠性和合规性。

为了深入了解关键风险类别和攻击模式，请参阅 LLM 应用 OWASP 前 10 大漏洞。此资源概述了各类关键威胁，例如提示注入、数据泄露、训练数据中毒和模型滥用。

AppScan DAST LLM 扫描程序支持对 LLM 相关漏洞进行配置和测试，从而帮助应对上述安全风险。这样可以验证防御措施的有效性，同时防止漏洞被攻击者利用。通过在 DAST 扫描中启用 LLM，可以在开发周期的早期识别潜在风险并进行补救。

覆盖范围摘要

AppScan DAST 对您的 LLM 工作流程进行端到端测试，并检查其行为和响应以发现各类问题，包括：

• 提示注入和越狱尝试

• 敏感数据披露和数据泄露

• 功能/工具调用滥用和未经授权的操作

• 检索增强生成 (RAG) 威胁，包括检索操纵

• 数据存储访问权限配置错误

• 代码执行和 shell 命令注入

限制

• LLM 输出具有不确定性；重新运行可能会产生不同的结果。
• 提供程序端速率限制和安全过滤器可能会影响覆盖范围。