บริการ
AI Security & LLM Risk Review
รีวิวเชิง Adversarial สำหรับ AI Feature ที่กำลังจะ Ship
ทำ Threat Model และ Red-team Test สำหรับ AI-powered App — ครอบคลุม Prompt Injection, Jailbreak, Data Leakage และ Model Supply Chain
จุดที่ AI Risk อยู่ใน Roadmap แล้ว
ทีมที่ Ship LLM-powered Feature เข้าสู่งานที่ Regulated, อยู่หน้าลูกค้า หรือเชื่อมตรงกับรายได้
Banking & Financial Services
Customer Copilot, KYC Assistant และ Underwriting Agent ภายใต้สายตา Prudential และ Securities Regulator
Healthcare
Clinical Summarization และ Triage Assistant ที่ Hallucination และ PHI Leakage มี Risk ตรงต่อผู้ป่วย
Retail & E-Commerce
Shopping Copilot และ Pricing Agent ที่เสี่ยง Prompt Injection จาก Review สินค้าและ External Content
Public Sector
Citizen-service Chatbot และ Regulatory Drafting Assistant ภายใต้ PDPA และการ Audit จัดซื้อจัดจ้าง
Enterprise SaaS
AI Feature ที่ Roll out บน Multi-tenant Data — Prompt Injection ครั้งเดียวกระทบลูกค้าทุกราย
Internal Productivity
Agent Platform ที่มี Tool Access, SaaS Connector และ Email — Phishing Surface ยุคใหม่ในรูปแบบใหม่
วิธีรัน AI Security Review
4 เฟสที่ Map กับ OWASP LLM Top 10, MITRE ATLAS และ NIST AI RMF — เสร็จภายใน 3–6 สัปดาห์
- 01
Map
Inventory พื้นผิว AI: Model, Prompt, Retrieval Source, Tool/Function Call และ Trust Boundary
- 02
Threat-model
เดิน OWASP LLM Top 10 + MITRE ATLAS กับ Architecture แล้วจัดอันดับตาม Blast Radius และ Likelihood
- 03
Adversarial Test
Red-team จริงด้วย Garak, PyRIT, Promptfoo และ Harness ที่เราสร้าง พร้อม Payload ที่ Reproducible
- 04
Harden
Fix ที่จับต้องได้ — Input/Output Guardrail, Retrieval Scoping, Tool-call Allowlist, Eval CI — แล้ว Re-test
Framework และ Tool ที่เราใช้
มาตรฐานอุตสาหกรรม ผสานกับ Open-source Red-team Kit ที่เราใช้ใน Engagement
Frameworks
- OWASP LLM Top 10
- MITRE ATLAS
- NIST AI RMF
- ISO/IEC 42001
- EU AI Act Mapping
Red-team Tooling
- Garak
- PyRIT
- Promptfoo
- Giskard
- Bespoke Test Harness ต่อ Engagement
Guardrails & Eval
- NeMo Guardrails
- Llama Guard
- Lakera
- Pydantic AI
- Ragas
- TruLens
Model & Platform Coverage
- Claude
- GPT
- Gemini
- Llama
- Bedrock
- Vertex AI
- Azure OpenAI
ทุกทีมที่ Ship Generative-AI Feature กำลังทำงานอยู่ที่ขอบของ Threat Model ใหม่ที่ไม่คุ้นเคย Prompt Injection ข้าม Control ที่ดูถูกต้องบนกระดาษได้ Retrieval Pipeline Exfiltrate ข้อมูลที่ Engineer คิดว่า Scope แล้ว Function-calling Agent ต่อ Text ที่ไม่น่าเชื่อถือเข้ากับ Tool ที่ Privilege สูงโดยตรง Security Checklist เดิมไม่ครอบคลุมเรื่องเหล่านี้เลย และทีมส่วนใหญ่เจอช่องโหว่ก็ต่อเมื่อนักข่าวหรือ Auditor สาธิตให้สาธารณะดู
AI Security Review ครอบคลุมอะไรจริง ๆ?
เราเดิน OWASP LLM Top 10 และ MITRE ATLAS เป็น Checklist กับ Architecture จริงของคุณ: Prompt Injection (ทั้งแบบตรงและ Indirect ผ่าน Content ที่ Retrieve), การ Poison Training Data และ Embedding, การหลุดข้อมูล Sensitive ผ่าน Model Output, Insecure Plugin/Tool Design, Excessive Agency ของ Tool-using Agent และ Supply-chain Risk ที่ระดับ Model และ Runtime ทุกหัวข้อจะมี Written Assessment ที่อ้างอิง Code และ Infrastructure ของคุณ — ไม่ใช่ Boilerplate
Phase Red-team ส่งอะไรกลับ?
Adversarial Payload ที่ Reproducible ทดสอบกับ Application จริงของคุณ จับเก็บเป็น Eval Case ที่ทีมรันซ้ำได้ทุกครั้งที่เปลี่ยน Prompt หรือ Model เราใช้ Garak และ PyRIT สำหรับ Coverage, Promptfoo สำหรับ Regression Discipline และ Bespoke Test Harness ต่อ Engagement สำหรับ Scenario เฉพาะ Application — Multi-turn Social Engineering, Retrieval-pipeline Poisoning และ Tool-call Escalation Deliverable ไม่ใช่ PDF Static แต่เป็น Test Suite ที่รันใน CI ได้ ช่วย Application ตรงไปตรงมาตามเวลา Engagement รันภายใต้ ISO 27001 ISMS ของเรา ดังนั้น Evidence ทั้งหมดถูกเก็บภายใต้ Audited Control
Compliance ที่เราครอบคลุม
- ISO/IEC 42001 — AI Management System Control Map กับ Evidence ที่เราเก็บระหว่าง Engagement
- EU AI Act — Risk-tier Assessment สำหรับระบบที่ให้บริการผู้ใช้ในยุโรป แม้จะ Host นอก EU
- PDPA และ BoT/SEC — Data-handling Boundary สำหรับ Retrieval, Logging และ Memory ใน Workload ที่ Regulated
- NIST AI RMF — Governance และ Lifecycle Control สำหรับใช้รายงาน Security Committee และ Audit
Deliverable ที่เราส่งกลับ
ของที่ลูกค้าใช้ต่อกับ Security Committee, Regulator และทีม Engineering ของตัวเอง
ภัยตาม OWASP LLM ถูก Validate กับ Application ของคุณ ทั้งแบบ Pass และ Fail
Adversarial Test Suite รันทุกครั้งที่ Model หรือ Prompt เปลี่ยน
Sign-off Package ที่ Map กับ ISO/IEC 42001 และ EU AI Act
Engagement รันภายใต้ ISMS ที่ Certified ของเรา — Evidence Trail ที่ Defensible สำหรับ Regulator
กำลังจะ Launch AI Feature เข้า Workflow ที่ Regulated?
เริ่มด้วย Scoping Call 30 นาที ถ้า Fit เรารัน AI Risk Triage บน Architecture ของคุณ 2 ชั่วโมง ส่งกลับ Assessment ที่จัดอันดับ Top-5 Issue และ Scope Engagement Red-team เต็มรูปแบบเฉพาะเมื่อจำเป็นจริง ๆ — Evidence ถูกเก็บภายใต้ ISO 27001 ISMS ของเรา สำหรับใช้ต่อกับ Security Committee