Vulcan Attack：AI 大型语言模型（LLM）资安检测服务

✦✦✦ 早鸟优惠中! 一次检测比渗透测试还便宜! ✦✦✦

随着AI模型运用增多，其相关资安风险也增加，继欧盟发布人工智能法监管AI的设计、开发、部署、及使用，金管会于 2024 年亦正式发布金融业运用AI指引，首先要求金融业运用AI时必须监控相关资安风险。

使用 AI 大型语言模型（LLM）的风险

资安与隐私：

• 提示词注入：以精心设计的提示词，诱导 AI 遵循使用者的指示，进行不合系统规范的操作。
• 越狱攻击：绕过 AI 模型的内建安全准则，产出不安全内容。
• 系统提示词外泄：泄漏 AI 模型的元提示（meta prompt），让攻击方更轻易操控 AI 之行为。
• 其他数据外泄：泄露重要营业机密或客户个资，对公司及个人造成严重损害，也可能引发法律纠纷。

不适当内容：

• 伤害性内容：负面声誉、黑客、毒品、内线交易、伪冒身份、赌博、诈骗等
• 歧视性内容：年龄、性别、成长环境、宗教、种族、心理疾病、职业、长相等的歧视

公平性：

• 偏见：依年龄、性别、成长环境、宗教、种族、心理疾病、职业、长相、社经状态、残疾、性取向等形成区别性内容

金融业运用AI指引

重视公平性及以人为本的价值观：

• 定期检视与分析AI系统产出之结果是否存在歧视，并透过救济选项搜集之信息，以确定AI模型对不同群体是否存在不平等对待之情况。如果发现歧视问题，应及时进行调整改进
• 使用第三方业者开发之生成式AI，如无法掌握训练过程及确保其数据或运算所得出之结果符合公平性时，金融机构对其产出之信息，仍需由其人员就其风险进行客观且专业的管控，以避免对客户或金融消费者产生不公平之情况

保护隐私及客户权益：

• 宜确保用以训练AI模型之信息及AI系统所产生之信息，不违反个人资料保护法及相关规范

确保系统稳健性与安全性：

• 宜选择较具备韧性之模型，同时亦必须确认此模型符合金融机构所欲达到之目的
• 可进行对抗性测试，以评估 AI 模型在面对非预期输入时的韧性，并做必要之调整
• 对于风险较高或影响幅度较大之 AI 系统，金融机构宜考虑是否先测试，且测试环境与日常环境分离

全面支持AI开发周期之漏洞检测

一般资安措施无法有效响应生成式 AI 特有的资安威胁。企业需使用专门工具执行检测，尽早辨识潜在风险以采取适当响应。由 Vulcan Attack 平台驱动的自动化检测流程，针对您的AI应用情境，模拟实际可能遭受的资安攻击。藉由完善的风险数据库与独家攻击技术，协助及早发现及修补语言模型与应用程序中的漏洞。

由攻击模型驱动的自动化 AI 检测

• AI 风险 (50+)——包含可能违反负责任 AI 原则的风险，并持续更新
• 攻击技术 (30+)——学术界已知的攻击手法，并持续更新
• 平均攻击成功率（ASR）相比开源解决方案高出 66%，更精准辨识潜在之漏洞

技术优势

• 为 OWASP Top 10 LLM & GenAI 资安测试及评估厂商
• 专为生成式 AI 提供的漏洞检测方案
• 大型语言模型（LLM）系统架构及风险专家
• 跨产业资安检测及红队演练实战经验
• 深谙AI伦理和负责任AI指引原则

服务优势

• 加速上市时间：检测流程自动化，将风险评估时间从200小时缩短至3小时，协助更快推出AI应用
• 支持多种语言：可测英文、多种亚洲语言（含繁中）及阿拉伯文；能依客户需求快速新增语言
• 贴合AI场境需求：高度弹性，可满足客制化测试需求，并能导入任何LLM环境，确保营运不中断