配置 LLM 以驗證 LLM 測試

配置 AppScan 來動態測試應用程式中的大型語言模型 (LLM) 功能,偵測潛在風險,例如機密資訊揭露、提示注入、資料外洩、工具濫用以及內容原則違規。鎖定會話端點、檢索增強生成 (RAG) 管道及其他 LLM 元件進行測試,接著透過 LLM 互動歷程與修正指引檢閱可重現的結果。

設定

詳細資料
已啟用 LLM 配置 使用切換按鈕,即可為整合 LLM 的應用程式啟用或停用 LLM 掃描。
設定 OpenAI 若要掃描並回報 LLM 風險,您必須設定 OpenAI 端點與 API 金鑰。如需相關資訊,請參閱配置 Azure OpenAI
錄製 LLM 序列
錄製 LLM 序列 前往您的 LLM 服務 URL。輸入「test」作為提示並提交。您可以視需要新增其他提示。完成後,請停止錄製。您可以使用 AppScan 內嵌瀏覽器進行錄製。若遇到問題,您可以使用外部瀏覽器,但必須先透過「工具 > 選項 > 使用外部瀏覽器」啟用該功能:
  • AppScan 瀏覽器(建議)
    • 不登入即錄製
    • 登入然後錄製(L)
  • 外部瀏覽器(所選瀏覽器名稱
編輯序列 AppScan 會自動偵測角色:提示、提交與回應欄位。
  • 提示:使用者提交至 LLM 的輸入文字。
  • 提交:使用者將提示傳送至 LLM 的動作(例如按一下「傳送」或按下 「Enter」 鍵)。
  • 回應:AppScan 會擷取 LLM 的輸出以進行分析。

    如果 AppScan 未能偵測到這些欄位,將顯示錯誤訊息。按一下「編輯序列」以修正播放,然後按一下套用。接著,您可以按一下執行分析以自動偵測角色。

    例如,若未錄製提交動作,您可以依下列步驟修正播放:
    1. 按一下編輯序列,在提示動作上按一下滑鼠右鍵,選取在所選項目後新增傳送按鍵動作 > Enter,然後按一下套用
    2. 按一下執行分析。您會看到系統自動偵測到「提交」動作,且播放運作正常。
執行分析 修正播放後,您可以執行分析以自動偵測角色。
在播放序列前登入 當您選取「登入然後錄製」選項時,AppScan 會預設套用此勾選框。
進階選項
已連接到資料庫
請提供與資料庫連接的資料表名稱,以完整對應並測試 LLM 服務的資料庫攻擊面。AppScan 會利用這些資訊模擬注入攻擊,並識別可能導致未授權資料存取的漏洞。
  • 表格名稱