Vulcan Attack：AI 大型語言模型（LLM）資安檢測服務

✦✦✦ 早鳥優惠中!  一次檢測比滲透測試還便宜!  ✦✦✦

隨著AI模型運用增多，其相關資安風險也增加，繼歐盟發布人工智慧法監管AI的設計、開發、部署、及使用，金管會於 2024 年亦正式發布金融業運用AI指引，首先要求金融業運用AI時必須監控相關資安風險。

使用 AI 大型語言模型（LLM）的風險

資安與隱私：

• 提示詞注入：以精心設計的提示詞，誘導 AI 遵循使用者的指示，進行不合系統規範的操作。
• 越獄攻擊：繞過 AI 模型的內建安全準則，產出不安全內容。
• 系統提示詞外洩：洩漏 AI 模型的元提示（meta prompt），讓攻擊方更輕易操控 AI 之行為。
• 其他資料外洩：洩露重要營業機密或客戶個資，對公司及個人造成嚴重損害，也可能引發法律糾紛。

不適當內容：

• 傷害性內容：負面聲譽、駭客、毒品、內線交易、偽冒身份、賭博、詐騙等
• 歧視性內容：年齡、性別、成長環境、宗教、種族、心理疾病、職業、長相等的歧視

公平性：

• 偏見：依年齡、性別、成長環境、宗教、種族、心理疾病、職業、長相、社經狀態、殘疾、性取向等形成區別性內容

金融業運用AI指引

重視公平性及以人為本的價值觀：

• 定期檢視與分析AI系統產出之結果是否存在歧視，並透過救濟選項蒐集之資訊，以確定AI模型對不同群體是否存在不平等對待之情況。如果發現歧視問題，應及時進行調整改進
• 使用第三方業者開發之生成式AI，如無法掌握訓練過程及確保其數據或運算所得出之結果符合公平性時，金融機構對其產出之資訊，仍需由其人員就其風險進行客觀且專業的管控，以避免對客戶或金融消費者產生不公平之情況

保護隱私及客戶權益：

• 宜確保用以訓練AI模型之資訊及AI系統所產生之資訊，不違反個人資料保護法及相關規範

確保系統穩健性與安全性：

• 宜選擇較具備韌性之模型，同時亦必須確認此模型符合金融機構所欲達到之目的
• 可進行對抗性測試，以評估 AI 模型在面對非預期輸入時的韌性，並做必要之調整
• 對於風險較高或影響幅度較大之 AI 系統，金融機構宜考量是否先測試，且測試環境與日常環境分離

全面支援AI開發週期之漏洞檢測

一般資安措施無法有效回應生成式 AI 特有的資安威脅。企業需使用專門工具執行檢測，儘早辨識潛在風險以採取適當回應。由 Vulcan  Attack 平台驅動的自動化檢測流程，針對您的AI應用情境，模擬實際可能遭受的資安攻擊。藉由完善的風險資料庫與獨家攻擊技術，協助及早發現及修補語言模型與應用程式中的漏洞。

由攻擊模型驅動的自動化 AI 檢測

• AI 風險 (50+)——包含可能違反負責任 AI 原則的風險，並持續更新
• 攻擊技術 (30+)——學術界已知的攻擊手法，並持續更新
• 平均攻擊成功率（ASR）相比開源解決方案高出 66%，更精準辨識潛在之漏洞

技術優勢

• 為 OWASP Top 10 LLM & GenAI 資安測試及評估廠商
• 專為生成式 AI 提供的漏洞檢測方案
• 大型語言模型（LLM）系統架構及風險專家
• 跨產業資安檢測及紅隊演練實戰經驗
• 深諳AI倫理和負責任AI指引原則

服務優勢

• 加速上市時間：檢測流程自動化，將風險評估時間從200小時縮短至3小時，協助更快推出AI應用
• 支援多種語言：可測英文、多種亞洲語言（含繁中）及阿拉伯文；能依客戶需求快速新增語言
• 貼合AI場景需求：高度彈性，可滿足客製化測試需求，並能導入任何LLM環境，確保營運不中斷