適用於 LLM 增強型應用程式的 DAST

大型語言模型 (LLM)

LLM 是一種以大量文字語料訓練的神經網路，能理解並生成自然語言，用於會話、摘要與程式碼生成等任務。

整合外部工具與資料來源（例如檢索增強生成 (RAG) 及外掛模組）可擴充功能，但也帶來提示注入、機密資料外洩與非預期操作等風險。因此，需要強化測試與控制機制。

適用於 LLM 增強型應用程式的 AppScan DAST

LLM 漏洞可能導致機密資料外洩、觸發未授權的工具或 API 操作、操縱輸出結果，甚至中斷服務。這些問題會削弱安全性、可靠性與法規相符性。

如要瞭解主要風險類別與攻擊模式，請參閱 OWASP LLM 應用程式 10 大安全風險。該資源說明提示注入、資料外洩、訓練資料汙染與模型濫用等重大威脅。

透過啟用配置並測試 LLM 相關漏洞，適用於 LLM 增強型應用程式的 AppScan DAST 可協助解決這些安全風險。這有助於驗證防禦機制並防止漏洞遭到惡意探索。在 DAST 掃描中啟用 LLM，可於開發週期的早期階段識別並修正潛在風險。

涵蓋範圍摘要

AppScan DAST 會執行端對端 LLM 工作流程，來檢查其行為與回應，找出以下問題：

• 提示注入與越獄嘗試

• 機密資料揭露與資料外洩

• 函式或工具呼叫濫用與未授權操作

• 檢索增強生成 (RAG) 相關威脅，包括檢索操作竄改

• 資料儲存存取配置錯誤

• 程式碼執行與 Shell 指令注入

限制

• LLM 輸出內容具不確定性，重新執行可能產生不同結果。
• 供應商端的速率限制與安全性篩選可能影響掃描涵蓋範圍。