指定目標AI模型並選擇攻擊目標、技術和修飾符,以在命令行介面(CLI)中使用TrendAI™的託管基礎設施進行掃瞄。若需自我託管配置,請參閱配置自我託管AI掃瞄設定。
步驟
- 為您的AI模型建立應用程式介面 (API) 金鑰。
- 移至「」。
- 點擊「Add API key」。
- 輸入名稱、角色、到期時間和描述。TrendAI™ 建議將您的 API 金鑰存放在 AI 掃描器下,名稱為
$V1_API_KEY。 - 請點選「新增」。
- 複製並保留 API 金鑰。
- 下載並安裝TrendAI™ Artifact Scanner 命令行介面 (CLI)。
- 設定 CLI 中的掃瞄設定。
- 將 TrendAI Vision One™ API 金鑰儲存為環境變數:
export TMAS_API_KEY=<your_vision_one_api_key> - 將 TrendAI™ Artifact Scanner CLI 添加到您的路徑中:
export PATH="/path/to/tmas/binary/directory:$PATH" - 啟動 TrendAI™ 工件掃描器 AI 掃描器:
-
對於美國 TrendAI Vision One™ 區域,執行此命令:
./tmas aiscan llm -i -
對於其他 TrendAI Vision One™ 區域,請添加區域標誌。例如,對於 JP 區域,請執行此命令:
./tmas aiscan llm -i --region=ap-northeast-1
-
- 選取目標類型。
-
Model Endpoint (OpenAI-compliant):選擇此選項以使用實作 OpenAI API 規範的 LLM 端點。您必須提供 OpenAI API 端點 URL、API 金鑰和模型 ID。
-
AI Application Endpoint (Custom):選擇此選項以使用具有自訂 API 介面的 AI 應用程式。您必須提供端點 URL、API 金鑰(可選),以及識別在請求主體中嵌入提示和提取回應的 JSON 鍵。
秘訣
如果自訂端點的請求或回應架構涉及陣列或巢狀 JSON 結構,請使用設定模式而非互動模式。詳細資訊請參閱下方的設定模式說明。 -
- 按照 CLI 精靈的指示為群組命名,輸入目標 API 端點,提供 API 金鑰,並配置其餘的目標設定。
- 從提供的選項中選擇一個或多個攻擊目標、技術和修飾符。
- 選擇「是」以儲存掃瞄設定並指定檔案名稱。
- 當掃瞄完成後,返回AI掃瞄器以查看完整結果。
- 將 TrendAI Vision One™ API 金鑰儲存為環境變數:
- 您也可以使用 YAML 配置檔案來執行掃瞄,而不是使用互動式精靈。TrendAI™ 建議使用配置模式進行自動化或 CI/CD 管道整合、可重複測試,以及具有複雜請求或回應結構的自訂 AI 應用程式端點。
- 將目標端點 API 金鑰儲存為環境變數:
export TARGET_API_KEY=<your_target_api_key> - 建立一個 YAML 配置檔案,定義目標、掃瞄設定和攻擊目標。對於自訂 AI 應用程式端點,請使用
custom區段來定義 HTTP 方法、標頭、請求主體範本和回應主體範本。使用{{prompt}}佔位符來指示 AI 掃描器插入攻擊提示的位置,並使用{{response}}佔位符來指示 AI 掃描器提取模型回應的位置。如需配置範例,請參閱AI 掃描器配置範例適用於自訂 AI 應用程式。 - 使用配置檔案執行掃瞄:
./tmas aiscan llm -c config.yaml若要指定區域,請添加區域標誌:./tmas aiscan llm -c config.yaml --region ap-northeast-1將結果儲存到檔案:./tmas aiscan llm -c config.yaml --output json=results.json,markdown=report.md
- 將目標端點 API 金鑰儲存為環境變數:
- 在 AI 掃瞄器中查看掃瞄結果。如需有關 AI 掃瞄器中可用結果的詳細資訊,請參閱 AI 掃瞄器掃瞄結果。
