跳到主要内容

从零到一

本路径帮助你在约 1 周内建立起 AI 应用的基础安全能力。

阶段一:认知(1 天)

  1. 阅读 AI 安全入门深度解析
  2. 浏览 OWASP LLM Top 10
  3. 识别你的应用涉及的风险:用户输入、数据、工具、合规

阶段二:基础防护(2–3 天)

  1. 输入过滤:实现简单规则(可疑模式、长度限制)
  2. 输出校验:对工具调用、敏感输出做校验
  3. 结构化提示:用明确格式区分系统指令与用户数据
  4. 测试:用常见注入样例验证防护有效

阶段三:业务集成(2–3 天)

  1. Agent:若使用 Agent,做工具权限最小化与二次确认
  2. RAG:若有 RAG,加入防幻觉设计(仅基于检索回答)
  3. 数据:明确数据留存、脱敏、访问控制策略
  4. 合规:若涉及欧盟或敏感行业,对照 GDPR、行业规范自查

阶段四:持续改进(持续)

  1. 建立红队用例库,定期回归
  2. 关注安全社区动态
  3. 根据业务迭代更新防护策略

检查清单

  • 已了解 OWASP LLM Top 10
  • 实现输入过滤与输出校验
  • Agent 工具权限最小化
  • RAG 有防幻觉设计
  • 数据与隐私策略已明确

扩展学习