配置 LLM 以验证 LLM 测试

配置 AppScan 以动态测试应用程序中的大语言模型 (LLM) 功能是否存在敏感信息泄露、提示注入、数据泄露、工具滥用和违反内容策略等风险。将聊天端点、检索增强生成 (RAG) 管道及其他 LLM 组件作为目标,然后结合 LLM 交互历史记录和补救指南审查可重现的调查结果。

设置

详细信息
LLM 配置已启用 使用切换功能为具有集成 LLM 的应用程序启用或禁用 LLM 扫描。
配置 OpenAI 要扫描和报告 LLM 风险,您必须配置 OpenAI 端点和 API 密钥。有关更多信息,请参阅配置 Azure OpenAI
录制 LLM 序列
录制 LLM 序列 导航至您的 LLM 服务 URL。输入“test”作为提示并提交。您可以根据需要添加其他提示。完成后,停止录制。您可以使用 AppScan 嵌入式浏览器进行录制。如果遇到问题,可以使用外部浏览器,前提是您已通过“工具”>“选项”>“使用外部浏览器”启用它:
  • AppScan 浏览器(建议)
    • 录制而不登录
    • 登录后录制
  • 外部浏览器(所选浏览器的名称
编辑序列 AppScan 自动检测角色:提示、提交和响应字段。
  • 提示:用户提交给 LLM 的输入文本。
  • 提交:向 LLM 发送提示的用户操作(例如,单击“发送”或按 Enter 键)。
  • 响应:AppScan 捕获的 LLM 输出,用于分析。

    如果 AppScan 无法检测到这些字段,则会显示错误消息。单击“编辑序列”并修复回放,然后单击应用。然后,您可以单击运行分析以自动检测角色。

    例如,如果未录制提交操作,您可以按如下方式修复回放:
    1. 单击编辑序列,右键单击提示操作,再单击在选定项目后添加发送键操作 > Enter,然后单击应用
    2. 单击运行分析。您可以看到自动检测到提交操作,并且回放正常工作。
运行分析 修复回放后,您可以运行分析以自动检测角色。
在序列播放之前登录 缺省情况下,当您选择“登录后录制”选项时,AppScan 将选中此复选框。
高级选项
已连接到数据库
提供连接到数据库的表名称,以完全映射和测试 LLM 服务的数据库攻击面。AppScan 使用此信息来模拟注入攻击,并识别可能允许未经授权的数据访问的漏洞。
  • 表名