架構
這張圖顯示應用程式如何使用 Model Armor 保護 LLM 和使用者。以下步驟說明資料流程:
- 向應用程式提供提示。
- Model Armor 會檢查傳入的提示,確認是否含有潛在敏感內容。
- 提示詞 (或經過清理的提示詞) 會傳送至 LLM。
- LLM 生成回覆。
- Model Armor 會檢查生成的回覆,確認是否含有潛在的敏感內容。
- 系統會將回覆 (或清理過的回覆) 傳送給您。 Model Armor 會在回覆中詳細說明已觸發和未觸發的篩選器。
Model Armor 會過濾輸入內容 (提示) 和輸出內容 (回覆),避免 LLM 接觸或生成惡意或私密內容。
網路需求
如要從虛擬私有雲網路存取 Model Armor 區域端點,您必須建立 Private Service Connect 端點,連至 Model Armor API。使用 Private Google Access 或 VPC Service Controls 存取區域端點時,必須這麼做,才能避免發生憑證錯誤。詳情請參閱「排解 Model Armor 問題」和「透過 Private Service Connect 端點存取區域端點」。
用途
Model Armor 可用於安全防護、信任與安全性,以及負責任的 AI 技術,包括:
- 降低敏感的智慧財產 (IP) 和個人識別資訊 (PII) 外洩的風險,防止這類資訊出現在 LLM 提示詞或回覆中。
- 防範提示詞注入和越獄攻擊,防止惡意人士操控 AI 系統來執行非預期的動作。
- 掃描 PDF 中的文字,找出敏感或惡意內容。
- 防止聊天機器人推薦競爭對手的解決方案,以維持品牌誠信和客戶忠誠度。
- 過濾 AI 應用程式生成的社群媒體貼文,避免出現危險或仇恨內容等有害訊息。
Model Armor 範本
您可以透過 Model Armor 範本,設定 Model Armor 篩選提示詞和回覆的方式。這類範本是一組自訂的篩選條件和門檻,可針對不同的安全信心水準進行設定,方便您控管要標記的內容。
門檻代表信賴水準,也就是 Model Armor 對提示詞或回覆中包含違規內容的信心程度。舉例來說,您可以建立範本,使用 HIGH 門檻篩選提示詞中的仇恨內容,這表示 Model Armor 很有把握提示詞包含仇恨內容。LOW_AND_ABOVE 門檻則表示對該聲明有任何程度的信心 (LOW、MEDIUM 和 HIGH)。
詳情請參閱 Model Armor 範本。
Model Armor 信心水準
您可以為負責任的 AI 技術安全類別 (情色、危險、騷擾和仇恨言論)、提示詞注入和越獄偵測,以及 Sensitive Data Protection (包括主題性) 設定信心水準。
對於支援精細閾值的可信度,Model Armor 的解讀方式如下:
- 高:識別極有可能違規的內容。
- 中等以上:識別違規機率中等或較高的內容。
- 低與以上:識別違規機率低、中或高的內容。
篩選器靈敏度會影響偵測率。門檻越低,偵測到的事件就越多,但偽陽性事件的頻率可能會增加。
| 信賴水準 | 偵測機率 | 偽陽性風險 | 建議用途 |
|---|---|---|---|
| 高 | 只會檢舉幾乎確定違規的內容。 | 極低 | 以不間斷的使用者互動為優先的正式環境。 |
| 中與以上 | 以適中的信賴度標記內容。 | 中 | 標準企業應用程式。在強效防護和可接受的誤判率之間取得平衡。適合一般內容安全。 |
| 低與以上 | 只要內容有任何違規跡象,就會遭到檢舉。 | 高 | 請謹慎使用。可能適用於高風險類別,例如提示詞注入和越獄偵測,即使有接受誤報的風險,也必須防止偽陰性。由於封鎖無害內容的風險較高,因此不建議用於一般負責任的 AI 內容類別。 |
注意事項與最佳做法
- 分離範本:為使用者提示詞和模型回覆設定不同的 Model Armor 範本。使用者輸入內容和模型輸出內容的風險設定檔和目標不同:
- 輸入範本:著重於防範惡意輸入內容、提示詞注入、越獄活動,以及上傳敏感資料。
- 輸出範本:著重於防止模型洩漏敏感資料、生成有害或不符合品牌形象的內容,或是傳回惡意網址。將範本分開可讓您更精細地控制、更輕鬆地追蹤封鎖項目,以及進行微調。
- 偽陽性影響:如果系統誤判並封鎖正當的提示或回覆,可能會導致使用者體驗不佳。
Low and above設定雖然全面,但可能會導致 AI 應用程式出現大量偽陽性結果。 - 依類別調整:最佳篩選層級取決於您想避免的危害類別。舉例來說,針對提示注入、越獄偵測和一般內容安全 (仇恨言論、騷擾、危險內容),請先使用
High或Medium and above盡量減少誤判。 - 反覆測試:請務必針對提示和回應的代表性資料集測試篩選器設定,包括已知良好和不良的範例。建立誤判的基準,並據此調整層級。
- 監控:持續監控正式環境中的篩選器效能,以防出現非預期的封鎖行為,或誤判率突然增加。
- 使用者意見回饋:提供機制,讓使用者回報內容遭誤封鎖的情況。這類意見回饋有助於調整篩選器等級。
設定策略範例
- 初始部署:
- 將一般負責任的 AI 篩選器 (仇恨言論和騷擾) 設為
High。 - 將提示詞注入和越獄偵測篩選器設為
Medium。如果是 Gemini Enterprise 等應用程式,請將門檻設為High,避免發生誤報。 - 使用進階 Sensitive Data Protection 範本,為您的用途設定必要的資訊類型;基本 Sensitive Data Protection 提供的資訊類型有限,主要適用於美國地區。
- 將一般負責任的 AI 篩選器 (仇恨言論和騷擾) 設為
- 測試和驗證:
- 使用一組已知安全查詢進行全面測試,確保查詢不會遭到封鎖。
- 評估一般使用者流量的偽陽率。
- 調整:
- 如果誤判情形持續大量發生,請將門檻變更為
High。 - 如果覺得特定類別的保護力不足,請謹慎考慮降低該類別的門檻,但務必先經過全面測試。
- 如果誤判情形持續大量發生,請將門檻變更為
根據每個類別的特定風險和誤判容許度,謹慎選取篩選器層級,即可盡量發揮 Model Armor 的效用。如要回報誤判和疏漏,請與 Cloud Customer Care 聯絡。
Model Armor 篩選器
Model Armor 提供多種過濾機制,協助您提供安全可靠的 AI 模型。可用的篩選器類別如下。
負責任的 AI 技術安全篩選器
您可以針對下列類別,在指定信賴水準下篩選提示和回覆:
| 類別 | 定義 |
|---|---|
| 仇恨言論 | 針對特定身分和/或受保護特質發表負面或有害言論。 |
| 騷擾 | 針對他人發表含有威脅、恐嚇、霸凌、辱罵或惡意意圖的言論。 |
| 煽情露骨內容 | 提及性行為或其他猥褻情事的內容。 |
| 危險內容 | 宣傳有害商品、服務與活動,或是提供接觸管道。 |
| 兒少性虐待內容 | 提及兒少性虐待內容 (CSAM)。這項篩選器預設為啟用,無法停用。 |
提示詞注入和越獄偵測
提示詞注入是一種安全漏洞,攻擊者會在文字輸入內容 (提示詞) 編寫特殊指令來誘騙 AI 模型。這樣一來,AI 可能忽視正常指令、透露私密/機密資訊,或是執行非預先設定的動作。
在 LLM 的脈絡中,越獄是指規避模型內建的安全通訊協定和道德規範,讓 LLM 生成原本設計要避免的回覆,例如有害、不道德和危險的內容。
啟用提示詞注入和越獄偵測功能後,Model Armor 會掃描提示詞和回覆中的惡意內容。如果偵測到惡意內容,Model Armor 會封鎖提示詞或回覆。
Sensitive Data Protection
Sensitive Data Protection 是一項 Google Cloud 服務,可協助您找出、分類及去識別化機密資料。這項服務可識別機密元素、內容和文件,協助您降低 AI 工作負載資料外洩的風險。您可以在 Model Armor 中直接使用 Sensitive Data Protection,轉換、代碼化及遮蓋機密元素,同時保留非機密內容。Model Armor 可接受現有的檢查範本,做為藍圖簡化掃描及識別機密資料的程序,滿足您的業務和法規遵循需求。這可確保其他使用 Sensitive Data Protection 的工作負載之間保持一致性及互通性。
Model Armor 提供兩種 Sensitive Data Protection 設定模式:
基本設定:在這個模式中,您可以指定要掃描的私密/機密資料類型,藉此設定 Sensitive Data Protection。這個模式支援下列類別:
- 信用卡號碼
- 美國社會安全號碼 (SSN)
- 金融帳戶號碼
- 美國個人納稅識別號碼 (ITIN)
- Google Cloud 憑證
- Google Cloud API 金鑰
基本設定僅支援檢查作業,不支援使用 Sensitive Data Protection 範本。詳情請參閱基本 Sensitive Data Protection 設定。
進階設定:這個模式提供更多彈性和自訂選項,可透過 Sensitive Data Protection 範本進行設定。Sensitive Data Protection 範本是預先定義的設定,可讓您指定更精細的偵測規則和去識別化技術。進階設定支援檢查和去識別化作業。詳情請參閱「進階機密資料保護設定」。
Sensitive Data Protection 的信賴水準與其他篩選器的信賴水準不同。如要進一步瞭解 Sensitive Data Protection 的信賴度等級,請參閱「Sensitive Data Protection 比對可能性」。如要進一步瞭解 Sensitive Data Protection,請參閱「Sensitive Data Protection 總覽」。
惡意網址偵測
惡意網址通常會偽裝成正當網址,因此成為網路釣魚攻擊、散布惡意軟體和其他線上威脅的強大工具。舉例來說,如果 PDF 內含嵌入的惡意網址,可用於入侵處理 LLM 輸出的任何下游系統。
啟用惡意網址偵測功能後,Model Armor 會掃描網址,判斷是否為惡意網址。這樣一來,您就能採取行動,防止系統傳回惡意網址。
定義違規處置類型
強制執行定義偵測到違規事項後的處理方式。如要設定 Model Armor 的偵測處理方式,請設定強制執行類型。Model Armor 提供下列強制執行類型:
- 僅檢查:在這個模式中,Model Armor 會根據設定的安全性政策分析內容。如果發現違規情形,系統會將詳細資料記錄到 Cloud Logging,以供監控和分析。不過,系統不會停止處理整合服務的要求或回應。這個模式適用於測試新政策、瞭解潛在違規率,以及稽核而不影響即時流量。如要從這個模式獲益,必須啟用 Cloud Logging。
- 檢查並封鎖:這個模式提供主動防護功能。Model Armor 偵測到違規內容時,不僅會記錄事件,還會阻止違規內容繼續傳送。舉例來說,系統會在不當提示傳送至模型前加以封鎖,或在不安全的回覆傳送給使用者前停止傳送。
強制執行類型會決定 Model Armor 整合的運作方式,以及強制執行的保護層級,因此非常重要。這項設定通常可在 Model Armor 範本和下限設定中設定,針對各種用途和整合服務啟用不同程度的強制執行。詳情請參閱「定義範本的強制執行類型」和「定義樓層設定的強制執行類型」。
各模式的運作方式如下:
| 模式 | 函式 | 影響 | 用途 |
|---|---|---|---|
Inspect only |
Model Armor 偵測到潛在的違反政策行為 (例如負責任的 AI 技術篩選器標示的內容、潛在的機密資料、疑似提示詞注入的嘗試) 時,會在 Cloud Logging 中記錄偵測事件。不過,這項服務不會阻止提示詞傳送至 LLM,也不會阻止 LLM 將回覆傳回給您。 | 在偵測到問題時,Model Armor 不會封鎖或修改內容,因此您與 AI 應用程式的互動會繼續進行,並收到回覆,彷彿檢查結果未導致封鎖。 | 政策測試和調整:部署新 AI 代理程式的機構可能想瞭解潛在問題提示或回應的類型和頻率,但不想打擾早期使用者。他們會在 監控新興威脅:資安團隊可能會使用這個模式,監控新類型的提示詞注入嘗試或意外的資料暴露,且不會影響應用程式功能。 法規遵循稽核:記錄所有潛在違規事項 (即使未遭到封鎖),可提供有價值的資料,用於法規遵循報告和風險評估。 |
Inspect and block |
這是目前啟用的強制執行模式。當 Model Armor 根據設定的偵測器及其閾值偵測到違反政策的行為時,系統會記錄事件並提供判決,以封鎖要求。呼叫服務、整合點或政策執行點 (PEP) 負責封鎖後續處理程序。
|
如果系統發現違規內容,就會拒絕您的要求,或不傳送 LLM 回應。您會收到應用程式傳送的訊息,指出要求無法處理。具體訊息取決於用戶端應用程式的設計,以及如何處理 Model Armor 的封鎖判定結果。 |
防範有害內容:
Sensitive Data Protection:
停止偵測提示詞注入和越獄:
封鎖不安全的網址:
強制執行自訂主題:
|
最佳做法是先使用 Inspect only,瞭解特定用途的潛在封鎖率和效力。分析記錄檔並調整設定後,即可切換至 Inspect and block,啟用保護功能。
如要有效使用 Inspect only 並取得實用洞察資訊,請啟用 Cloud Logging。如果未啟用 Cloud Logging,Inspect only 就無法提供任何實用資訊。
透過 Cloud Logging 存取記錄檔。依服務名稱篩選
modelarmor.googleapis.com。找出與範本中啟用作業相關的項目。詳情請參閱「使用 Logs Explorer 查看記錄」。
Model Armor 底限設定
雖然 Model Armor 範本可為個別應用程式提供彈性,但機構通常需要在所有 AI 應用程式中建立基本保護層級。使用 Model Armor 底限設定建立這個基準。這類設定會為 Google Cloud 資源階層中專案層級建立的所有範本,定義最低要求。
詳情請參閱「Model Armor 底限設定」。
語言支援
Model Armor 篩選器支援以多種語言清除提示和回覆。
- Sensitive Data Protection篩選器支援英文和其他語言,具體取決於您選取的infoTypes。
我們已針對下列語言測試負責任的 AI 技術 和提示詞注入與越獄偵測篩選器:
- 中文 (國語)
- 英文
- 法文
- 德文
- 義大利文
- 日文
- 韓文
- 葡萄牙文
- 西班牙文
這些篩選器也適用於許多其他語言,但結果品質可能不一。如要查看語言代碼,請參閱這篇文章。
啟用多語言偵測功能的方法有兩種:
啟用一次性設定:如要簡化設定程序,可以使用 REST API,在 Model Armor 範本層級啟用多語言偵測功能,做為一次性設定。詳情請參閱「建立 Model Armor 範本」。
文件審查
文件中的文字可能含有惡意和敏感內容。 Model Armor 可以篩選下列類型的文件,防範安全風險、提示詞注入和越獄活動、敏感資料外洩,以及惡意網址:
- CSV
- 文字檔:TXT
- Microsoft Word 文件:DOCX、DOCM、DOTX、DOTM
- Microsoft PowerPoint 投影片:PPTX、PPTM、POTX、POTM、POT
- Microsoft Excel 工作表:XLSX、XLSM、XLTX、XLTM
資料處理和儲存
Model Armor 的設計原則是保護隱私權和資料最小化原則。除非您明確設定並啟用平台記錄功能,否則 Model Armor 不會儲存 AI 互動內容,讓您控管資料保留時間。本節說明 Model Armor 如何處理您的資料:
- 無狀態處理和內容處置:Model Armor 是一種無狀態服務,所有提示和模型回覆都會完全在記憶體中處理。在標準作業期間,系統不會記錄、儲存或長期保留任何分析內容,分析完成後會立即捨棄所有資料。
- 客戶控管的記錄:只有透過 Cloud Logging,與處理內容相關的資料才會儲存。如果您選擇為 Model Armor 服務啟用 Cloud Logging,系統會將事件詳細資料 (可能包括中繼資料或所分析內容的程式碼片段,視設定而定) 傳送至您指定的 Cloud Logging 目的地。記錄的資料範圍和保留時間取決於 Cloud Logging 設定。
- 安全儲存和加密:Model Armor 處理的所有資料都會受到業界標準加密技術保護,包括使用 TLS 1.2 以上版本傳輸中的資料,以及分析期間暫時儲存在記憶體中的資料。
- 區域資料落地:雖然 Model Armor 處理程序為無狀態,但這項服務支援嚴格的資料落地控制項。這可確保所有暫時性處理作業只會在您定義的地理界線內進行,例如
US或EU。 - 選擇性處理:為確保作業效率和區域法規遵循,Model Armor 只會傳輸及處理有效篩選器的資料。如果特定篩選器已停用 (例如因區域可用性或使用者偏好設定),系統不會將資料傳送至與該篩選器相關聯的基礎服務,也不會處理這類資料。
- 全球法規遵循標準:Model Armor 是 Google Cloud 生態系統的一環,因此享有嚴格的安全防護基礎。基礎架構會定期接受獨立稽核,以維持 SOC 1/2/3 和 ISO/IEC 27001 等認證。
定價
您可以購買 Model Armor,並將其整合至 Security Command Center,也可以單獨購買這項服務。如要查看定價資訊,請參閱 Security Command Center 定價。
權杖
生成式 AI 模型會將文字和其他資料拆解成較小的單元,稱為「詞元」。Model Armor 會根據 AI 提示和回覆中的詞元總數計價。Model Armor 會限制每個提示和回覆中處理的詞元數量。如需詞元限制,請參閱詞元限制。
後續步驟
- 瞭解 Model Armor 範本。
- 瞭解 Model Armor 底限設定。
- 瞭解 Model Armor 端點。
- 清理提示和回覆。
- 瞭解 Model Armor 稽核記錄。
- 排解 Model Armor 問題。