案件導覽概覽
中級2 分鐘閱讀更新於 2026-03-15
完整 AI 紅隊案件的逐步導覽:從範圍界定與偵察、透過攻擊執行到報告,依目標系統類型組織。
每個 AI 系統都有不同的架構、威脅模型與利害關係人集合。聊天機器人案件不同於 RAG 系統案件,後者又不同於代理評估。本節的導覽提供完整、依系統類型的案件指南,涵蓋完整生命週期:範圍界定、偵察、攻擊執行與報告。
這些不是理論框架。每個導覽遵循真實案件情境,提供你在真實案件中會使用的確切測試序列、工具與交付項模板。
這些導覽如何結構化
每個案件導覽遵循相同的五階段結構:
範圍界定與案件前
定義目標系統、同意交戰規則、識別利害關係人、設置測試環境,以及建立溝通協議。
偵察
描繪目標系統架構、識別元件、列舉攻擊面,以及基於你的發現建立測試計畫。
攻擊執行
對每個識別的攻擊面執行結構化攻擊。記錄每次嘗試,無論成功與否。
分析與分級
分析發現、評估嚴重性、識別根本原因,以及開發針對系統架構的修復建議。
報告與交接
撰寫案件報告、進行說明會議,以及以可採取的修復指引交接發現。
選擇正確的導覽
| 系統類型 | 導覽 | 關鍵攻擊面 | 典型持續時間 |
|---|---|---|---|
| 聊天機器人 | 聊天機器人案件 | 提示詞注入、系統提示詞萃取、內容過濾器繞過、PII 洩漏 | 1-2 週 |
| RAG 系統 | RAG 案件 | 文件注入、跨範圍檢索、嵌入操控、資料外洩 | 2-3 週 |
| AI 代理 | 代理案件 | 工具濫用、權限提升、透過工具注入、會話操控 | 2-4 週 |
| AI API | API 案件 | 認證繞過、速率限制規避、輸入驗證、輸出洩漏 | 1-2 週 |
| 多模型 | 多模型案件 | 模型間注入、路由繞過、備援利用、模型間資料洩漏 | 3-4 週 |
共同案件階段
無論系統類型,每個 AI 紅隊案件都包含這些活動:
案件前要素
書面授權。 取得明確涵蓋 AI 特定測試活動的已簽授權:提示詞注入、越獄、資料萃取嘗試與工具濫用。標準滲透測試授權可能不涵蓋這些活動。
範圍定義。 精確定義哪些模型、端點、資料來源與工具在範圍內。AI 系統經常跨越多個服務與帳戶。確認模型訓練基礎設施、監控系統與連接的資料儲存是否在範圍內。
測試環境。 盡可能先對暫存環境測試。AI 測試可產生進入日誌、訓練資料或回饋迴圈的內容。測試生產前理解爆炸半徑。
偵察模式
每個案件從偵察開始。對 AI 系統,偵察包含:
- 架構描繪: 識別模型、託管平台、編排層、資料來源與工具整合
- API 列舉: 描繪所有端點、認證機制與速率限制
- 內容政策識別: 判斷存在什麼內容過濾以及在什麼閾值
- 工具清單: 對代理系統,列舉可用工具與其能力
- 資料來源描繪: 對 RAG 系統,識別連接的資料儲存與其存取控制
報告標準
本節所有案件導覽產出遵循 報告撰寫導覽 報告標準的交付項:
- 針對系統類型與業務脈絡的 執行摘要
- 具重現步驟、嚴重性評級與系統特定影響分析的 發現細節
- 對應特定平台、框架與架構的 修復建議
- 具原始測試資料、工具設定與成本摘要的 附錄
案件難度進程
如果你對 AI 紅隊演練是新手,依此順序通過導覽:
- 聊天機器人案件(中階)— 最簡單的目標架構。聚焦於核心技能:提示詞注入、系統提示詞萃取與內容過濾器繞過。
- API 案件(中階)— 引入基礎設施層級測試。結合 AI 特定技術與傳統 API 安全測試。
- RAG 案件(進階)— 加入資料層複雜度。需要理解嵌入系統、向量資料庫與檢索管線。
- 代理案件(進階)— 最複雜的單一系統類型。需要理解工具呼叫、權限模型與多步攻擊鏈。
- 多模型案件(進階)— 整體最複雜。需要理解模型互動、路由邏輯與跨模型攻擊傳播。