授權、合約與責任
AI 紅隊委任之交戰規則、範疇文件、責任條款與合約範本。應納入哪些內容以保護自己與客戶。
每一個合法的 AI 紅隊委任都始於文書工作。交戰規則(RoE)是你法律防衛工具中最重要的單一文件。沒有它,即便出於善意的測試也可能使你面臨刑事責任。
AI 紅隊授權的解剖
AI 紅隊授權需包含傳統滲透測試合約所不具備的條款。下列段落應出現在每一份委任文件中。
範疇定義
| 範疇元素 | 需明定之內容 | 範例 |
|---|---|---|
| 目標系統 | 確切端點、模型、版本 | 「GPT-4o via api.openai.com, deployment ID xyz-123」 |
| 攻擊類別 | 授權之攻擊類型 | 「Prompt injection、jailbreaking、output manipulation」 |
| 排除之攻擊 | 明確排除的範圍 | 「No model extraction、no training data extraction」 |
| 資料邊界 | 測試可用之資料 | 「Synthetic data only;no real PII in test prompts」 |
| 基礎設施限制 | 可觸及之支援系統 | 「API endpoints only;no network infrastructure testing」 |
| 時間窗 | 允許測試之時段 | 「Business hours EST, March 1–31, 2026」 |
授權鏈
簽署授權者必須具法律權力授予存取。對 AI 系統這比傳統 IT 資產更複雜。
辨識系統擁有者
對 AI 系統而言,可能是部署該模型的組織、模型供應商,或兩者。雲端託管之 AI 服務可能亦需雲端供應商之授權。
驗證簽署權力
確認簽署人對受測系統具權力。工程副總可能授權 API 測試、但對底層雲端基礎設施無權限。
處理第三方相依
若 AI 系統使用第三方 API、模型或資料來源,判定是否需通知或取得該第三方授權。
記錄授權鏈
維持清楚紀錄:誰授權了什麼,以及其授權權力來源。
關鍵合約條款
責任上限
範本條款(需與法律顧問調整):
"Tester's aggregate liability under this Agreement shall not exceed
the total fees paid under this engagement. In no event shall Tester
be liable for indirect, incidental, or consequential damages arising
from authorized testing activities conducted within the defined scope."補償
雙方皆應對因其各自義務所引起之主張相互補償:
- 客戶補償測試方:因客戶未揭露相關系統資訊、或第三方對授權測試之主張所引起之請求
- 測試方補償客戶:因授權範圍外測試、或對所發現漏洞處置疏失所引起之請求
資料處理與機密
AI 紅隊製造獨特的資料處理疑慮:
| 資料類別 | 處理要求 | 保留期間 |
|---|---|---|
| 測試提示與 payload | 加密儲存、存取控管 | 委任期間 + 90 天 |
| 模型輸出(含有害內容) | 加密、標記為測試產物 | 委任期間 + 90 天 |
| 已發現漏洞 | 機密分類、限制散布 | 依揭露時程 |
| 系統提示或模型細節 | 客戶機密資訊 | 依 NDA 條款 |
| 被擷取之訓練資料(若在範疇內) | 比照客戶 PII/營業秘密 | 分析後刪除 |
智慧財產
釐清以下之所有權:
- 測試工具與方法論:通常由測試方保有
- 委任中開發之自製 exploit:每次委任個別協議
- 發現與報告:通常交付客戶,並給測試方授權可於未來工作中以匿名方式引用
- 所發現漏洞:客戶擁有該發現;測試方保留在議定禁言期後揭露的權利
交戰規則範本
AI 紅隊完整 RoE 應包含下列段落:
委任概觀
當事人、目標、時程、主要聯絡人、升級程序。
範疇定義
範圍內系統、授權之攻擊類別、範圍外項目、測試時段。
測試方法論
做法(黑箱、灰箱、白箱)、所用工具、嚴重性分級制度。
溝通協定
如何回報嚴重發現(緊急聯絡)、常態狀態更新、最終報告交付。
事件處理
若測試造成中斷、資料暴露或其他非預期影響時的處置。聯絡對象、多快通報,以及需記錄什麼。
資料處理
測試資料、模型輸出與發現如何儲存、傳輸並最終銷毀。
完成條件
什麼構成委任完成。交付物、驗收流程、委任後支援。
合約危險訊號
留意下列會製造不可接受風險的條款:
| 危險訊號 | 為何危險 | 可協商之內容 |
|---|---|---|
| 無上限責任 | 單一發現可能使你破產 | 以委任費或保險額度為上限 |
| 無補償 | 由你吸收所有第三方主張 | 依各自義務相互補償 |
| 範疇模糊 | 「測試我們的 AI 系統」無邊界 | 具體端點、方法與排除 |
| 無事件條款 | 出事時無流程 | 明訂升級與溝通程序 |
| 工具列為受雇著作 | 客戶主張擁有你的工具 | 為既有與通用工具保留 IP |
| 無 safe harbor 條款 | 客戶可對範疇內發現採取法律行動 | 對授權活動之明確不起訴承諾 |
| 無豁免的強制 NDA | 即使匿名也無法談論發現 | 為匿名案例研究與研討會演講設豁免 |
AI 特有合約考量
AI 紅隊引入傳統資安測試不存在之合約議題。
模型供應商 vs. 部署方
當測試建構於第三方模型之上的 AI 應用(例如以 Claude 或 GPT-4 打造的公司客服機器人)時,需考量:
- 部署方授權對其應用之測試
- 模型供應商的服務條款可能限制某些測試方法
- 漏洞可能存在於底層模型、而非應用層
有害輸出條款
AI 紅隊刻意產出有害輸出。你的合約必須處理:
- 為授權測試期間產生有害內容提供法律 safe harbor
- 對有害輸出的安全處理與刪除
- 對 AI 系統於測試提示下所產內容之免責
- 清楚區分測試產物與實際有害意圖
相關主題
- AI 紅隊的法律框架 -- 支撐這些合約要求的法律地景
- 倫理與負責任揭露 -- 超越合約的倫理義務
- 保險與合規要求 -- 支撐合約保護的保險
- 超越 ASR 的紅隊指標 -- 委任報告所引用之指標框架
參考資料
- "Model Contract for AI Penetration Testing" - Cloud Security Alliance(2024)- AI 安全評估之範本合約條款,含 safe harbor 語句
- "CREST Code of Conduct for Penetration Testing" - CREST International(2023)- 資安測試委任之專業標準與合約義務
- "Legal Considerations for AI Security Testing" - NIST SP 800-218A(2024)- 適用於 AI 系統安全評估之法律框架指引
- "Professional Liability in AI Security Assessments" - IEEE Security & Privacy(2024)- AI 紅隊之責任曝險與合約保護分析
於 AI 紅隊合約中,下列哪個條款對保護測試方免於法律行動最為關鍵?