部署模式與安全
中級2 分鐘閱讀更新於 2026-03-20
常見大型語言模型部署模式(API、自架、邊緣)及其獨特的安全特性與攻擊面。
概覽
大型語言模型可以多種模式部署,每種有獨特的安全特性與攻擊面。理解這些差異對正確威脅建模、適切防禦實作與有效紅隊演練至關重要。
主要部署模式
託管 API
供應商(OpenAI、Anthropic、Google)託管模型並透過 API 提供。客戶透過 API 金鑰傳送請求。
安全特性:
- 模型權重不可取得
- 供應商控制基線安全訓練
- API 金鑰管理是主要安全邊界
- 供應商實作基本速率限制與內容過濾
攻擊面:
- API 金鑰盜竊
- 基於提示詞的攻擊(注入、越獄)
- 輸出操控
- 速率限制繞過
- 跨租戶攻擊(若共享基礎設施)
雲端託管自訂部署
雲端平台(AWS Bedrock、Azure OpenAI、GCP Vertex AI)上的專屬部署。客戶有更多配置控制。
安全特性:
- 模型權重通常仍不可取得,但某些功能允許微調
- 客戶控制安全配置(內容過濾、速率限制)
- 客戶可為敏感請求新增護欄
- 跨雲端安全責任分擔
攻擊面:
- 雲端配置錯誤
- IAM 權限錯誤
- 資源耗盡攻擊
- 跨租戶於共享基礎設施上的攻擊
- 供應鏈攻擊(雲端服務漏洞)
自架(開源模型)
組織於自有基礎設施部署開源權重模型(Llama、Mistral、Qwen)。
安全特性:
- 完整權重存取(對防禦者與攻擊者)
- 完全控制安全訓練、微調、過濾
- 無供應商強制的基線安全——客戶必須實作
- 白箱攻擊對內部威脅可能
攻擊面:
- 基礎設施攻擊(OS、容器、網路)
- 模型權重盜竊(內部威脅)
- 對抗性微調(移除安全對齊)
- 白箱攻擊(GCG 最佳化)
- 較弱的基線安全若未正確配置
邊緣 / 本機部署
模型於使用者裝置執行(如智慧型手機、筆電)。
安全特性:
- 模型權重於使用者裝置
- 資料不離開裝置(隱私優勢)
- 有限計算使用較小模型
- 離線運作可能
攻擊面:
- 裝置層級攻擊(若使用者裝置被入侵)
- 模型萃取由使用者本身(可存取權重)
- 回應品質受限可能增加繞過機率
- 側通道攻擊(記憶體、計時)
比較矩陣
| 面向 | 託管 API | 雲端自訂 | 自架 | 邊緣 |
|---|---|---|---|---|
| 權重存取 | 否 | 有限 | 完整 | 完整(使用者) |
| 供應商基線安全 | 是 | 部分 | 否 | 部分 |
| 客戶控制 | 低 | 中-高 | 完整 | 完整 |
| 攻擊者所需存取 | API 金鑰 | 雲端認證 | 網路存取 | 裝置 |
| 供應鏈風險 | 供應商 | 供應商+雲端 | 權重來源 | 權重來源 |
| 跨租戶風險 | 高 | 中 | 低 | 無 |
模式特定紅隊演練考量
託管 API 紅隊演練
- 聚焦於提示詞基礎攻擊(無權重存取)
- 測試 API 金鑰管理實務
- 嘗試跨租戶資料洩漏(若共享基礎設施疑慮)
- 評估速率限制與成本濫用
雲端自訂紅隊演練
- IAM 與雲端配置審查
- 測試部署特定安全設定
- 評估跨服務權限(模型工具存取其他 AWS 服務等)
- 供應商+雲端雙層安全評估
自架紅隊演練
- 包含白箱攻擊(GCG 最佳化)
- 評估基礎設施安全
- 測試對抗性微調情境
- 對內部威脅的模型權重保護
邊緣紅隊演練
- 裝置層級安全評估
- 模型萃取可行性(使用者可取得權重)
- 有限資源情境中的對齊強度
- 側通道攻擊
威脅模型差異
每模式建議不同威脅模型:
- 託管 API:主要威脅為外部攻擊者 + 惡意使用者
- 雲端自訂:增加雲端內部威脅、供應商入侵
- 自架:增加內部人員(可權重存取)、基礎設施攻擊者
- 邊緣:主要威脅為使用者自身(可 reverse engineer)+ 裝置入侵
防禦共同原則
跨所有模式:
- 輸入過濾與輸出監控
- 速率限制與濫用偵測
- 安全記錄與稽核
- 事件回應計畫
- 定期紅隊演練
相關主題
參考文獻
- OWASP (2025). OWASP Top 10 for LLM Applications
- MITRE ATLAS —— AI 系統的對抗威脅版圖
Knowledge Check
為何部署模式對 AI 紅隊演練如此重要?