กลับไปยังบริการ

AI Security & LLM Risk Review

รีวิวเชิง Adversarial สำหรับ AI Feature ที่กำลังจะ Ship

ทำ Threat Model และ Red-team Test สำหรับ AI-powered App — ครอบคลุม Prompt Injection, Jailbreak, Data Leakage และ Model Supply Chain

ภาพประกอบ abstract ของ Neural Lattice ที่ตัดกับ Shield สื่อถึง AI Red-teaming ในโทนสี HarmonyX

ทีมที่ Ship LLM-powered Feature เข้าสู่งานที่ Regulated, อยู่หน้าลูกค้า หรือเชื่อมตรงกับรายได้

01

Banking & Financial Services

Customer Copilot, KYC Assistant และ Underwriting Agent ภายใต้สายตา Prudential และ Securities Regulator

02

Healthcare

Clinical Summarization และ Triage Assistant ที่ Hallucination และ PHI Leakage มี Risk ตรงต่อผู้ป่วย

03

Retail & E-Commerce

Shopping Copilot และ Pricing Agent ที่เสี่ยง Prompt Injection จาก Review สินค้าและ External Content

04

Public Sector

Citizen-service Chatbot และ Regulatory Drafting Assistant ภายใต้ PDPA และการ Audit จัดซื้อจัดจ้าง

05

Enterprise SaaS

AI Feature ที่ Roll out บน Multi-tenant Data — Prompt Injection ครั้งเดียวกระทบลูกค้าทุกราย

06

Internal Productivity

Agent Platform ที่มี Tool Access, SaaS Connector และ Email — Phishing Surface ยุคใหม่ในรูปแบบใหม่

4 เฟสที่ Map กับ OWASP LLM Top 10, MITRE ATLAS และ NIST AI RMF — เสร็จภายใน 3–6 สัปดาห์

  1. 01

    Map

    Inventory พื้นผิว AI: Model, Prompt, Retrieval Source, Tool/Function Call และ Trust Boundary

  2. 02

    Threat-model

    เดิน OWASP LLM Top 10 + MITRE ATLAS กับ Architecture แล้วจัดอันดับตาม Blast Radius และ Likelihood

  3. 03

    Adversarial Test

    Red-team จริงด้วย Garak, PyRIT, Promptfoo และ Harness ที่เราสร้าง พร้อม Payload ที่ Reproducible

  4. 04

    Harden

    Fix ที่จับต้องได้ — Input/Output Guardrail, Retrieval Scoping, Tool-call Allowlist, Eval CI — แล้ว Re-test

มาตรฐานอุตสาหกรรม ผสานกับ Open-source Red-team Kit ที่เราใช้ใน Engagement

Frameworks

  • OWASP LLM Top 10
  • MITRE ATLAS
  • NIST AI RMF
  • ISO/IEC 42001
  • EU AI Act Mapping

Red-team Tooling

  • Garak
  • PyRIT
  • Promptfoo
  • Giskard
  • Bespoke Test Harness ต่อ Engagement

Guardrails & Eval

  • NeMo Guardrails
  • Llama Guard
  • Lakera
  • Pydantic AI
  • Ragas
  • TruLens

Model & Platform Coverage

  • Claude
  • GPT
  • Gemini
  • Llama
  • Bedrock
  • Vertex AI
  • Azure OpenAI

ทุกทีมที่ Ship Generative-AI Feature กำลังทำงานอยู่ที่ขอบของ Threat Model ใหม่ที่ไม่คุ้นเคย Prompt Injection ข้าม Control ที่ดูถูกต้องบนกระดาษได้ Retrieval Pipeline Exfiltrate ข้อมูลที่ Engineer คิดว่า Scope แล้ว Function-calling Agent ต่อ Text ที่ไม่น่าเชื่อถือเข้ากับ Tool ที่ Privilege สูงโดยตรง Security Checklist เดิมไม่ครอบคลุมเรื่องเหล่านี้เลย และทีมส่วนใหญ่เจอช่องโหว่ก็ต่อเมื่อนักข่าวหรือ Auditor สาธิตให้สาธารณะดู

AI Security Review ครอบคลุมอะไรจริง ๆ?

เราเดิน OWASP LLM Top 10 และ MITRE ATLAS เป็น Checklist กับ Architecture จริงของคุณ: Prompt Injection (ทั้งแบบตรงและ Indirect ผ่าน Content ที่ Retrieve), การ Poison Training Data และ Embedding, การหลุดข้อมูล Sensitive ผ่าน Model Output, Insecure Plugin/Tool Design, Excessive Agency ของ Tool-using Agent และ Supply-chain Risk ที่ระดับ Model และ Runtime ทุกหัวข้อจะมี Written Assessment ที่อ้างอิง Code และ Infrastructure ของคุณ — ไม่ใช่ Boilerplate

Phase Red-team ส่งอะไรกลับ?

Adversarial Payload ที่ Reproducible ทดสอบกับ Application จริงของคุณ จับเก็บเป็น Eval Case ที่ทีมรันซ้ำได้ทุกครั้งที่เปลี่ยน Prompt หรือ Model เราใช้ Garak และ PyRIT สำหรับ Coverage, Promptfoo สำหรับ Regression Discipline และ Bespoke Test Harness ต่อ Engagement สำหรับ Scenario เฉพาะ Application — Multi-turn Social Engineering, Retrieval-pipeline Poisoning และ Tool-call Escalation Deliverable ไม่ใช่ PDF Static แต่เป็น Test Suite ที่รันใน CI ได้ ช่วย Application ตรงไปตรงมาตามเวลา Engagement รันภายใต้ ISO 27001 ISMS ของเรา ดังนั้น Evidence ทั้งหมดถูกเก็บภายใต้ Audited Control

Compliance ที่เราครอบคลุม

  • ISO/IEC 42001 — AI Management System Control Map กับ Evidence ที่เราเก็บระหว่าง Engagement
  • EU AI Act — Risk-tier Assessment สำหรับระบบที่ให้บริการผู้ใช้ในยุโรป แม้จะ Host นอก EU
  • PDPA และ BoT/SEC — Data-handling Boundary สำหรับ Retrieval, Logging และ Memory ใน Workload ที่ Regulated
  • NIST AI RMF — Governance และ Lifecycle Control สำหรับใช้รายงาน Security Committee และ Audit

ของที่ลูกค้าใช้ต่อกับ Security Committee, Regulator และทีม Engineering ของตัวเอง

Top-10

ภัยตาม OWASP LLM ถูก Validate กับ Application ของคุณ ทั้งแบบ Pass และ Fail

Eval-in-CI

Adversarial Test Suite รันทุกครั้งที่ Model หรือ Prompt เปลี่ยน

Pre-launch

Sign-off Package ที่ Map กับ ISO/IEC 42001 และ EU AI Act

ISO 27001

Engagement รันภายใต้ ISMS ที่ Certified ของเรา — Evidence Trail ที่ Defensible สำหรับ Regulator

กำลังจะ Launch AI Feature เข้า Workflow ที่ Regulated?

เริ่มด้วย Scoping Call 30 นาที ถ้า Fit เรารัน AI Risk Triage บน Architecture ของคุณ 2 ชั่วโมง ส่งกลับ Assessment ที่จัดอันดับ Top-5 Issue และ Scope Engagement Red-team เต็มรูปแบบเฉพาะเมื่อจำเป็นจริง ๆ — Evidence ถูกเก็บภายใต้ ISO 27001 ISMS ของเรา สำหรับใช้ต่อกับ Security Committee

เริ่มพูดคุย