AI 扩展计划 / Playbooks
AI Security Operations / SOC Playbook
以下来源用于建立术语、控制映射和运营语言。正式项目应记录访问日期、版本、内部 policy mapping 和控制 owner。
1,019 行AI_SECURITY_OPERATIONS_SOC_PLAYBOOK.md
AI Security Operations / AI SOC Playbook
定位:面向 AI Security Architect / AI Platform PM / SOC Lead / Risk Ops / Enterprise Architect 的 AI 安全运营手册。 目标:把 LLM、RAG、Agent、代码 Agent、风控模型和 AI 平台网关的运行时风险,转成 SOC 可监控、可检测、可响应、可复盘、可度量的运营体系。 核心结论:AI Security Operations 不是在传统 SIEM 里多加几个关键词告警。真正的 AI SOC 要把 prompt、context、retrieval、model、tool、policy、DLP、identity、approval、egress、eval 和 incident evidence 串成可关联的 telemetry graph。
重要说明:本文是学习与作品集材料,不构成法律、监管、审计或正式安全评估意见。金融零售正式项目必须由 Security、Privacy、Legal、Compliance、Model Risk、Operational Risk、Business Owner、Technology Owner、Internal Audit 共同确认适用要求、证据保留、客户补救和外部通知义务。
Source Anchors
以下来源用于建立术语、控制映射和运营语言。正式项目应记录访问日期、版本、内部 policy mapping 和控制 owner。
| Source | Official link | 本文使用方式 |
|---|---|---|
| MITRE ATLAS | https://atlas.mitre.org/ | 用 adversary tactics / techniques 组织 AI attack detection、attack path、case study、purple-team scenario 和 incident analysis。 |
| MITRE ATLAS Data | https://github.com/mitre-atlas/atlas-data | 作为 ATLAS living knowledge base 的结构化数据锚点,便于把 rule catalog 映射到 technique、mitigation 和 case study。 |
| OWASP Top 10 for LLM Applications 2025 | https://genai.owasp.org/llm-top-10/ | 用 LLM01 到 LLM10 建立 prompt injection、sensitive information disclosure、supply chain、data/model poisoning、improper output handling、excessive agency、system prompt leakage、vector weakness、misinformation、unbounded consumption 的检测覆盖。 |
| NIST Cybersecurity Framework 2.0 | https://www.nist.gov/cyberframework | 用 Govern、Identify、Protect、Detect、Respond、Recover 组织 AI SOC 能力、runbook、SIEM/SOAR、incident criteria 和恢复闭环。 |
| NIST CSF 2.0 PDF | https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf | 用 CSF Core 的 Detect / Respond / Recover 结果语言对齐安全运营、事件分析、沟通和恢复。 |
| NIST AI Risk Management Framework | https://www.nist.gov/itl/ai-risk-management-framework | 用 Govern、Map、Measure、Manage 把 AI SOC 接入 AI inventory、risk tier、monitoring、management reporting 和 residual risk。 |
| NIST AI RMF Generative AI Profile | https://www.nist.gov/publications/artificial-intelligence-risk-management-framework-generative-artificial-intelligence | 用 GenAI lifecycle、AI actor、data privacy、information security、value chain、human-AI configuration 等风险语言补强 AI SOC 场景。 |
| Cloud Security Alliance AI Controls Matrix v1.1 | https://cloudsecurityalliance.org/artifacts/ai-controls-matrix-v1-1 | 用 AICM 的 AI 控制目标、角色责任、生命周期和审计指南组织 control effectiveness dashboard 与 evidence pack。 |
| Cloud Security Alliance Cloud Controls Matrix v4.1 | https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4-1 | 用云安全控制、CAIQ 和持续审计指标连接 AI 平台底座、供应商、日志、访问控制和安全责任边界。 |
框架组合方式:
| Framework | 最适合回答的问题 | 在本文中的落点 |
|---|---|---|
| MITRE ATLAS | 攻击者怎样针对 AI 系统行动 | detection engineering、purple team、incident attack path、threat intel enrichment |
| OWASP LLM Top 10 | LLM / GenAI 应用有哪些高频风险 | rule coverage、test coverage、policy gate、product acceptance criteria |
| NIST CSF 2.0 | SOC 如何治理、检测、响应和恢复 | AI SOC operating model、runbook、SIEM/SOAR、metrics、management reporting |
| NIST AI RMF / GenAI Profile | AI 风险如何进入企业治理和生命周期 | AI risk tier、monitoring design、residual risk、model risk evidence |
| CSA AICM / CCM | 控制如何落成可审计的 cloud / AI evidence | control objective、owner、implementation evidence、audit sampling |
1. 一句话定位
传统 SOC 擅长处理 endpoint、network、identity、cloud、app、email 和 vulnerability signals。AI SOC 要补上四类新信号:
| AI SOC signal | 传统 SOC 为什么容易漏 | 需要新增的运营能力 |
|---|---|---|
| 语义攻击 | payload 不是固定 IOC,而是自然语言、文档、网页、邮件、代码注释、tool result 中的指令冲突 | prompt / context classification、instruction hierarchy、semantic similarity、LLM-as-judge calibration |
| 代理动作 | 事故不一定是系统被攻破,而是 Agent 被诱导调用合法工具做非法动作 | tool gateway telemetry、policy decision log、approval evidence、side-effect tracking |
| 检索污染 | 攻击入口可能是 RAG 文档、embedding index、memory、feedback、供应商知识库 | retrieval provenance、source trust、ACL verification、index lineage、memory write log |
| 输出外泄 | 数据可能通过模型回答、摘要、日志、外部 ticket、邮件、webhook、代码 diff 被带出 | DLP for AI output、egress correlation、redaction audit、vendor route control |
这份手册训练出的能力:
| 角色 | 高级能力 | 可展示交付物 |
|---|---|---|
| AI Security Architect | 设计 AI telemetry、detection、response 和 control effectiveness 架构 | AI SOC Reference Architecture、Telemetry Schema、SIEM Integration Map |
| AI Platform PM | 把安全运营产品化为平台能力和上线门禁 | Detection Backlog、Risk-Tiered Alert UX、Control Dashboard、Runbook Pack |
| SOC Lead | 把 AI-native risk 纳入 SOC L1/L2/L3 与 incident command | Detection Rule Catalog、Severity Matrix、SOAR Playbooks、Analyst Triage Guide |
| Risk Ops | 把 AI security signal 转成风险事件、控制缺口和管理报告 | Risk Event Taxonomy、Control Effectiveness Dashboard、Residual Risk Register |
| Enterprise Architect | 把 AI SOC 接入企业架构、数据治理、身份、供应商和审计 | C4 / Data Flow、Control Mapping、Evidence Binder、Architecture Decision Record |
一句话记忆:
AI SOC = AI telemetry + semantic detection + tool/action control + incident response + control effectiveness.
2. 与现有学习资产的关系
本文不替代已有 AI 安全文档,而是补上“运行时安全运营”和“SOC 工程化”这一层。
| 现有文档 | 已提供能力 | 本手册补强 |
|---|---|---|
docs/AI_THREAT_MODELING_RED_TEAM_PLAYBOOK.md | 威胁建模、红队、Agent 安全、攻击路径、tabletop。 | 把红队场景转成持续检测规则、SOC triage、SIEM/SOAR 和 control effectiveness。 |
docs/AI_PLATFORM_SECURITY_GATEWAY_LAB.md | 安全网关、tool gateway、policy engine、approval、DLP、kill switch。 | 把 gateway 事件转成 telemetry schema、correlation rules、runbooks 和 dashboard。 |
docs/AI_INCIDENT_POSTMORTEM_RELIABILITY_PLAYBOOK.md | AI incident taxonomy、severity、containment、postmortem、reliability review。 | 补强安全类 AI incident 的检测、分流、证据拉取、SOAR 自动化和 purple-team 回归。 |
docs/AI_MODEL_RISK_MANAGEMENT_PLAYBOOK.md | AI inventory、validation、ongoing monitoring、change control、effective challenge。 | 把 SOC 发现的攻击、滥用、控制失效变成 MRM monitoring evidence 和 issue remediation。 |
docs/AI_PRIVACY_DATA_PROTECTION_PLAYBOOK.md | 隐私、数据最小化、DLP、数据权利、敏感数据治理。 | 补强输出外泄、KYC 文档外泄、日志二次泄露和隐私事故分级。 |
docs/AI_RETRIEVAL_EVAL_GRAPH_RAG_PLAYBOOK.md | RAG / GraphRAG 检索质量、证据、eval、知识治理。 | 补强 RAG prompt injection、ACL bypass、poisoned source、retrieval anomaly 的检测和响应。 |
推荐学习顺序:
- 用
AI_PLATFORM_SECURITY_GATEWAY_LAB.md建立安全网关和 tool boundary。 - 用
AI_THREAT_MODELING_RED_TEAM_PLAYBOOK.md枚举攻击路径和红队场景。 - 用本文把攻击路径运营化为 telemetry、detection、runbook 和 dashboard。
- 用
AI_INCIDENT_POSTMORTEM_RELIABILITY_PLAYBOOK.md完成复盘和防复发。 - 用
AI_AUDIT_EVIDENCE_BINDER_PLAYBOOK.md把运行证据转成审计包。
3. 为什么重要
金融零售 AI 安全的风险,不只来自“模型说错”。更高阶的风险来自“模型被操控后借系统权限做了事”。
| 风险场景 | 业务后果 | 为什么 SOC 必须介入 |
|---|---|---|
| 客服 AI 数据泄露 | 客户 PII、账户信息、投诉内容或交易摘要被错误展示或外发 | 需要快速识别影响客户、隔离输出路径、保全 trace、触发隐私和法律流程 |
| Agent 越权调用工具 | 普通员工或客户通过 Agent 调用退款、账户状态、KYC、CRM、支付风控工具 | 需要把 tool call 当成 security event,关联身份、权限、审批、参数和 side effect |
| RAG prompt injection | 恶意文档进入检索上下文,诱导模型泄露数据或调用外部工具 | 需要检索来源、上下文标签、文档 lineage、index version 和恶意 payload 证据 |
| KYC 文档外泄 | 身份证件、地址证明、收入证明、受益人信息被摘要、日志或外部 ticket 带出 | 需要 DLP、egress、vendor route、retention、客户通知和监管沟通准备 |
| 代码 Agent secret exposure | 代码 Agent 在 diff、日志、依赖分析或 issue 回复中暴露 API key、token、数据库连接信息 | 需要 secret scanning、repo telemetry、chat-to-code trace、token rotation 和 supply-chain review |
| 支付风控模型滥用 | 攻击者用 AI 接口探测风控边界、规避规则或诱导模型给出欺诈策略 | 需要 abuse detection、rate limit、decision boundary probing、fraud intel 和 risk model monitoring |
AI SOC 的核心价值不是“拦住每一次 jailbreak”,而是:
| 价值 | 高级表达 |
|---|---|
| 可见性 | 能知道模型看到了什么、决定了什么、建议了什么、调用了什么、输出了什么。 |
| 可关联 | 能把 user、session、prompt、retrieval、tool、policy、DLP、egress、approval、output 关联成一条 evidence chain。 |
| 可处置 | 能按模型、prompt、index、tool、connector、tenant、workflow、risk tier 精确止血。 |
| 可验证 | 能通过 purple team 和 replay 证明检测与控制真实有效。 |
| 可治理 | 能把 SOC 结果接入 risk appetite、MRM、audit、board / regulator reporting。 |
4. AI SOC Reference Architecture
4.1 参考架构
flowchart TB
User[User / Employee / Customer / API Client] --> Edge[AI App Edge]
Edge --> Auth[Identity, Tenant, Device, Purpose]
Auth --> PromptGW[Prompt and Context Gateway]
PromptGW --> Retriever[RAG Retriever / Memory / Knowledge APIs]
Retriever --> Context[Context Pack with Source Labels]
PromptGW --> Orchestrator[Agent Orchestrator]
Context --> Orchestrator
ModelGW[Model Gateway] --> Orchestrator
Orchestrator --> ToolProposal[Tool Call Proposal]
ToolProposal --> ToolGW[Tool Gateway]
ToolGW --> Policy[Policy Engine / Risk Tier / Approval]
Policy --> DLP[DLP / Secrets / Egress Guard]
DLP --> BusinessTools[Business Tools / Connectors]
BusinessTools --> ToolResult[Tool Result]
ToolResult --> Orchestrator
Orchestrator --> OutputGuard[Output Guard / Citation / Redaction]
OutputGuard --> User
PromptGW --> Tel[AI Telemetry Collector]
Retriever --> Tel
Orchestrator --> Tel
ModelGW --> Tel
ToolGW --> Tel
Policy --> Tel
DLP --> Tel
OutputGuard --> Tel
Tel --> Privacy[Privacy Filter and Tokenization]
Privacy --> Stream[Streaming Detection Engine]
Privacy --> Lake[Trace Lake / Evidence Store]
Stream --> SIEM[Enterprise SIEM]
Stream --> SOAR[SOAR Playbooks]
SIEM --> Case[Case Management / Incident Command]
SOAR --> Kill[Scoped Kill Switch / Containment Actions]
Lake --> Replay[Replay / Eval / Purple Team Regression]
Lake --> Dashboard[Control Effectiveness Dashboard]
4.2 架构原则
| Principle | 设计含义 | 反模式 |
|---|---|---|
| Trace before trust | 没有 trace、version、policy decision、tool span 和 evidence link 的 AI path 不应进入高风险生产 | 只记录 final answer,不记录上下文和工具调用 |
| Separate semantics from authority | 模型可以解释语义,权限、审批、DLP、外发和 side effect 必须由平台控制 | 让模型自行判断“我是否可以调用工具” |
| Security events are product events | 高风险拒答、阻断、审批、人工接管、误拦截都影响产品体验 | SOC 只看告警,不反馈给 PM 和 workflow owner |
| Detection is layered | 规则、分类器、LLM judge、异常检测、DLP、identity、tool behavior 要叠加 | 只靠关键词识别 prompt injection |
| Evidence is minimized | 证据要足以复盘,但日志本身不能变成敏感数据泄露源 | 把完整 KYC 文档、客户身份号、system prompt 明文写入 SIEM |
| Response is scoped | 按 model、tenant、workflow、tool、connector、index、risk tier 分层止血 | 一有事故就全局停用 AI 平台,或完全不敢停 |
| Control effectiveness is measured | 控制是否有效要看覆盖率、误报、漏报、MTTD、MTTR、回归通过率和残余风险 | 只有“控制已上线”的静态声明 |
4.3 AI SOC 能力地图
| Capability | 关键问题 | 主要产物 |
|---|---|---|
| AI Asset and Use Case Inventory | 哪些 AI 系统、模型、RAG、Agent、工具、数据源、供应商进入生产 | AI security inventory、risk tier、owner map |
| AI Telemetry Engineering | 运行时是否记录足以复盘的语义、检索、工具、策略和输出证据 | Telemetry schema、trace ID standard、retention policy |
| Detection Engineering | 如何发现 prompt injection、tool misuse、data exfiltration、model abuse、jailbreak、policy violation | Detection rule catalog、coverage map、test corpus |
| SIEM / SOAR Integration | AI 信号如何进入现有 SOC,不制造噪声孤岛 | SIEM integration map、SOAR action library、case routing |
| Incident Response | AI security incident 如何定级、止血、取证、恢复、沟通 | Severity matrix、SOC runbooks、war room checklist |
| Purple Team | 攻击与防守如何联合验证控制 | Exercise plan、attack cards、detection evidence、remediation register |
| Control Effectiveness | 控制是否真实降低风险,是否适合继续扩大上线 | Effectiveness dashboard、control test record、residual risk report |
| Governance and Reporting | SOC 结果如何进入 CISO、CRO、MRM、audit、business review | Monthly AI risk pack、architecture review evidence、audit binder |
5. AI Telemetry Schema
AI telemetry 的目标不是收集越多越好,而是让每个高风险事件都能回答七个问题:
谁在什么业务目的下,让哪个 AI 系统看到哪些上下文;
模型产生了什么计划和输出;
系统允许或拒绝了哪些工具动作;
哪些控制被触发;
影响了哪些数据、客户、员工、系统和供应商;
SOC 如何处置;
哪些证据支持复盘和控制有效性评估。
5.1 Event Taxonomy
| Event type | 触发点 | 关键用途 |
|---|---|---|
ai.request.received | AI 应用收到请求 | 关联 actor、tenant、purpose、channel、risk tier |
ai.prompt.composed | prompt / context gateway 完成组装 | 记录 prompt template version、trusted / untrusted segmentation、context label |
ai.retrieval.query | RAG 查询发起 | 记录 query intent、index、ACL、top_k、source filters |
ai.retrieval.result | 检索结果返回 | 记录 doc IDs、source trust、sensitivity、permission match、freshness |
ai.model.invoked | 模型被调用 | 记录 model alias、provider、route、token、latency、safety settings |
ai.agent.plan.generated | Agent 生成计划 | 记录 plan steps、tool proposal、risk estimate |
ai.tool.proposed | 模型提出 tool call | 记录 tool name、arguments hash、business object、risk tier |
ai.policy.evaluated | policy engine 做决策 | 记录 allow / deny / redact / approval / dual-control、rule ID |
ai.approval.decided | 人工审批完成 | 记录 approver role、decision、evidence packet、reason code |
ai.tool.executed | 工具执行 | 记录 side effect、idempotency key、result sensitivity、target system |
ai.dlp.evaluated | 输入、输出、日志、外发检查 | 记录 data class、match type、redaction、block reason |
ai.output.released | 回复或工件交付给用户或系统 | 记录 output channel、redaction status、citation support、policy status |
ai.egress.attempted | 外部发送、webhook、ticket、email、repo、vendor route | 记录 destination、data class、approval、DLP result |
ai.memory.written | 长期记忆或反馈写入 | 记录 source、retention、sensitivity、write policy |
ai.eval.replayed | 事件样本进入 replay / eval | 记录 eval suite、pass/fail、regression link |
ai.soc.alert.created | 检测生成告警 | 记录 rule ID、severity、evidence bundle、case route |
5.2 Schema Template
以下模板使用一条完整样例展示字段形态。生产落地时应使用机构内部数据分类、散列策略、retention policy 和字段级访问控制。
{
"event_id": "evt_20260629_184512_7f3a",
"event_type": "ai.tool.proposed",
"event_time_utc": "2026-06-29T18:45:12Z",
"ai_trace_id": "trc_care_refund_20260629_000384",
"session_id_hash": "sha256:9b7a1b4c6e0f",
"actor": {
"actor_type": "employee",
"actor_id_hash": "sha256:1f62d0e4b8a9",
"role": "contact_center_associate",
"tenant": "retail_bank_us",
"device_risk": "managed_device",
"auth_strength": "mfa"
},
"business_context": {
"use_case_id": "uc_customer_service_refund_agent",
"workflow": "card_dispute_refund_support",
"purpose": "customer_support",
"risk_tier": "high",
"customer_region": "US",
"business_object_type": "refund_case",
"business_object_id_hash": "sha256:5cd9a201e2f0"
},
"ai_system": {
"application": "customer_service_ai",
"orchestrator_version": "agent-orch-4.8.2",
"prompt_template_id": "pt_refund_agent_v17",
"model_alias": "enterprise-llm-high-reasoning",
"model_provider_route": "approved_us_region",
"rag_index_id": "idx_card_dispute_policy_2026_06_21"
},
"context": {
"input_channel": "agent_console",
"untrusted_context_present": true,
"retrieved_doc_ids_hash": [
"sha256:doc_81b0",
"sha256:doc_92ac"
],
"highest_data_class_seen": "customer_confidential",
"source_trust_min": "internal_approved",
"sensitive_terms_count": 4
},
"tool": {
"tool_name": "refund.create_case_credit",
"tool_risk_tier": "regulated_financial_action",
"tool_arguments_hash": "sha256:aa80346a11b1",
"side_effect": "customer_credit_case_created",
"idempotency_key": "idem_9c1a8470",
"dry_run": true
},
"policy": {
"decision": "require_dual_control",
"decision_reason": "refund_amount_above_associate_limit",
"matched_rule_ids": [
"POL-TOOL-REFUND-004",
"POL-DUAL-CTRL-002"
],
"approval_packet_id": "appr_20260629_184512_028"
},
"security_signals": {
"owasp_llm_tags": [
"LLM01_prompt_injection",
"LLM06_excessive_agency"
],
"mitre_atlas_tactics": [
"execution",
"privilege_escalation"
],
"dlp_result": "no_release",
"prompt_injection_score": 0.71,
"tool_misuse_score": 0.82,
"exfiltration_score": 0.09
},
"soc": {
"alert_id": "alrt_ai_tool_000921",
"severity": "SEV2",
"runbook_id": "RB-AI-TOOL-MISUSE-01",
"case_id": "case_soc_20260629_1187",
"status": "triaged"
},
"evidence": {
"prompt_record_ref": "vault://ai-evidence/trc_care_refund_20260629_000384/prompt",
"redacted_prompt_record_ref": "lake://ai-trace/redacted/trc_care_refund_20260629_000384",
"tool_span_ref": "lake://ai-trace/tool-span/evt_20260629_184512_7f3a",
"retention_class": "security_incident_7y",
"pii_in_siem": false
}
}
5.3 Field Governance
| Field group | 设计要求 | SOC 使用方式 | 风险控制 |
|---|---|---|---|
| Identity | 存 actor hash、role、tenant、auth strength、device risk,避免明文身份扩散 | 关联越权、异常行为、重复攻击、审批责任 | Hash with salt、field-level access、break-glass review |
| Prompt / Context | 保存版本、标签、摘要、敏感等级、证据引用,完整原文进受控 evidence vault | 复盘 injection、jailbreak、data exfil、policy conflict | Redaction、purpose-limited access、retention class |
| Retrieval | 保存 index、doc hash、source trust、ACL result、freshness、sensitivity | 发现 RAG poisoning、ACL bypass、跨租户召回 | Index lineage、doc signing、ACL replay |
| Model | 保存 model alias、provider route、latency、token、safety settings,不把供应商内部 ID 当唯一版本 | 发现 vendor drift、cost spike、model abuse | Model route governance、change control |
| Tool | 保存 tool risk、argument hash、business object hash、side effect、idempotency | 发现 tool misuse、重复执行、审批绕过 | Tool gateway、policy engine、dual control |
| Policy | 保存 decision、rule IDs、reason code、approval packet | 证明拦截、审批、拒绝和例外 | Policy-as-code versioning、approval integrity |
| DLP / Egress | 保存 data class、destination、block/redact、external route | 发现 KYC 外泄、客服数据泄露、代码 secret exposure | DLP tuning、egress allowlist、vendor controls |
| SOC | 保存 rule、severity、case、runbook、analyst decision | 管理告警质量、MTTD、MTTR、control effectiveness | Case QA、false positive review |
6. Detection Rule Catalog
6.1 Catalog Format
每条 AI detection rule 应同时服务三类受众:SOC analyst 能分流,AI platform engineer 能定位组件,risk owner 能判断控制缺口。
| Field | 写法 | 示例 |
|---|---|---|
| Rule ID | 稳定编号,按风险域分组 | AI-PI-001 |
| Rule name | 能说明攻击或控制失效 | Indirect prompt injection from RAG source triggered tool proposal |
| Risk domain | prompt、RAG、tool、data、model abuse、policy、cost、identity、vendor | RAG + Agent Tool |
| Framework mapping | OWASP LLM、MITRE ATLAS、NIST CSF、内部 policy | OWASP LLM01 / LLM06, NIST CSF DE.AE / RS.AN |
| Data sources | 需要哪些 telemetry event | ai.retrieval.result, ai.tool.proposed, ai.policy.evaluated |
| Logic | 规则、模型分类器、异常检测或组合逻辑 | untrusted_context_present=true AND prompt_injection_score>=0.7 AND tool_risk_tier high |
| Severity | 默认等级和升级条件 | SEV2, external egress 或 executed side effect 升 SEV1 |
| Evidence | analyst 打开 case 需要看到的证据 | trace summary、doc hash、tool proposal、policy decision、output sample |
| Response | 自动动作和人工动作 | quarantine document、force human review、disable external send |
| Tuning | 如何降低误报 | 按 use case baseline、trusted source allowlist、analyst feedback |
| Control link | 对应控制和 dashboard 指标 | CTRL-RAG-UNTRUSTED-CONTEXT-02, detection precision |
6.2 Baseline Rule Catalog
| Rule ID | Rule name | Detection logic | Default severity | Response |
|---|---|---|---|---|
| AI-PI-001 | Direct prompt injection attempt | 输入命中 instruction override、role hijack、policy bypass、system prompt extraction intent,且 use case risk tier 为 medium 或 high | SEV3 | 标记 session、返回安全拒答、保留 redacted prompt、进入攻击样本库 |
| AI-PI-002 | Indirect prompt injection from RAG | 检索文档被标为 untrusted 或 low source trust,内容含指令性语义,随后出现 tool proposal、external egress 或 policy bypass 请求 | SEV2 | 隔离文档、冻结 index delta、强制人工复核相关 trace |
| AI-PI-003 | Tool output injection | tool result 中出现面向模型的执行指令,且被后续 plan step 引用 | SEV2 | 包装 tool output 为 untrusted evidence、阻断后续高风险 tool call、检查 connector |
| AI-JB-001 | Jailbreak escalation pattern | 同一 session 多次变体尝试绕过拒答、角色、政策或安全边界 | SEV3;涉及客户数据或工具升 SEV2 | 增强 session throttling、触发 analyst review、更新 jailbreak corpus |
| AI-JB-002 | Multilingual or encoded bypass | base64、零宽字符、混合语言、同形字、代码块等绕过策略命中语义分类器 | SEV3 | 规范化输入、记录 canonical payload、调优 classifier |
| AI-TOOL-001 | Unauthorized tool proposal | actor role、purpose、tenant 与 tool policy 不匹配,但 Agent 提出高风险工具调用 | SEV2 | deny tool call、创建 case、检查 prompt / context 是否被操控 |
| AI-TOOL-002 | Tool execution without required approval | tool risk tier 要求人审或双控,但缺少 approval packet 或 approver 不合格 | SEV1 | 暂停相关 tool path、回滚或补救 side effect、启动 incident command |
| AI-TOOL-003 | Tool argument anomaly | tool argument 与历史 profile、业务对象、金额、地域、客户 segment 显著偏离 | SEV2 | dry-run、要求人工审批、关联 fraud / abuse telemetry |
| AI-TOOL-004 | Tool call loop or amplification | 同一 trace 内工具重复调用、递归计划、批量枚举或成本异常 | SEV2 | 停止 agent run、启用 step budget、检查 unbounded consumption |
| AI-DATA-001 | Sensitive data in model output | final output 或 artifact 命中 PII、PCI、KYC、secret、账户、交易明细,且 channel 不允许该数据等级 | SEV1 | 阻断输出、通知 privacy、保全 evidence、识别受影响对象 |
| AI-DATA-002 | Cross-tenant retrieval result | retrieval result 的 tenant、ACL、region 或 business purpose 与 actor context 不匹配 | SEV1 | 停用 index route、回滚 ACL filter、启动数据泄露评估 |
| AI-DATA-003 | External egress after sensitive retrieval | trace 中先检索 customer_confidential 或 restricted 数据,随后出现 email、webhook、ticket、repo、vendor egress | SEV1 | 阻断外发、隔离 destination、拉取 egress evidence、隐私评估 |
| AI-DATA-004 | System prompt or policy leakage | 输出包含 system instruction、policy internals、tool schema、secret-like config 或安全控制细节 | SEV2 | redaction、rotate exposed config if applicable、强化输出 guard |
| AI-RAG-001 | Retrieval source trust downgrade | 高风险 use case 引用了低信任、过期、未签名或权限不明的文档 | SEV3;驱动工具或客户输出升 SEV2 | 降级答案、强制引用权威源、创建 data owner ticket |
| AI-RAG-002 | Poisoned document behavior | 新 ingest 文档导致 prompt injection score、policy conflict、unsafe citation sudden spike | SEV2 | 暂停 ingest pipeline、quarantine doc batch、回滚 index |
| AI-ABUSE-001 | Model abuse probing | 大量请求探测风控边界、拒答边界、KYC 规则、支付欺诈策略或 AML typology | SEV2 | rate limit、identity challenge、fraud intel enrichment、case routing |
| AI-ABUSE-002 | Decision boundary extraction | 请求批量枚举风控模型输入组合并询问通过概率、拒绝原因或绕过方法 | SEV1 | 阻断、关联账户和 IP、通知 fraud / model risk |
| AI-CODE-001 | Code Agent secret exposure | 代码 Agent 输出、diff、issue comment、日志中出现 API key、token、connection string、private key pattern | SEV1 | 阻断提交或回复、rotate secret、扫描 repo history、供应链复核 |
| AI-CODE-002 | Code Agent unsafe dependency action | Agent 建议或执行引入未批准依赖、可疑 package、postinstall script 或模型文件 | SEV2 | 阻断 PR 自动合并、触发 AppSec review、更新 allowlist |
| AI-POL-001 | Policy violation in customer-facing output | 客户可见输出违反投诉、费用、信贷、KYC、隐私、投资或消费者保护政策 | SEV1 | 下架输出路径、人工复核受影响会话、业务补救 |
| AI-POL-002 | Safety control disabled or bypassed | prompt route、DLP、output guard、tool policy、approval、logging 在高风险 path 中被关闭或缺失 | SEV1 | scoped kill switch、恢复批准配置、变更审计 |
| AI-COST-001 | Unbounded consumption | token、retrieval、rerank、judge、tool、agent step cost 超过 use case budget 或异常增长 | SEV2 | 限流、降级模型、终止循环、恢复 budget cap |
| AI-VENDOR-001 | Vendor route drift | model provider、region、data processing mode、logging setting 与批准 route 不一致 | SEV2 | 切换批准 route、通知 vendor risk、保全变更证据 |
6.3 Detection Query Pattern
以下是伪查询风格,用于说明关联逻辑。生产中可映射到 Splunk SPL、KQL、SQL、Sigma-like rule、stream processor 或平台内 detection DSL。
SELECT
ai_trace_id,
actor.role,
business_context.use_case_id,
context.source_trust_min,
security_signals.prompt_injection_score,
tool.tool_name,
tool.tool_risk_tier,
policy.decision,
soc.severity
FROM ai_security_events
WHERE event_time_utc >= NOW() - INTERVAL '15 minutes'
AND context.untrusted_context_present = true
AND security_signals.prompt_injection_score >= 0.70
AND tool.tool_risk_tier IN ('regulated_financial_action', 'external_egress', 'restricted_data_read')
AND policy.decision IN ('allow', 'require_approval', 'require_dual_control')
GROUP BY ai_trace_id, actor.role, business_context.use_case_id, context.source_trust_min,
security_signals.prompt_injection_score, tool.tool_name, tool.tool_risk_tier,
policy.decision, soc.severity;
6.4 Coverage Matrix
| Risk | OWASP LLM mapping | Detection families | Must-have data sources |
|---|---|---|---|
| Prompt injection | LLM01 | AI-PI, AI-JB, AI-RAG, AI-TOOL | prompt, context labels, retrieval, tool proposal, policy |
| Sensitive information disclosure | LLM02 | AI-DATA, AI-CODE, AI-POL | DLP, output, egress, logs, code artifacts |
| Supply chain | LLM03 | AI-CODE, AI-VENDOR, AI-RAG | dependency, vendor route, model/package provenance, index ingest |
| Data and model poisoning | LLM04 | AI-RAG, AI-PI, AI-ABUSE | ingest logs, index lineage, memory write, feedback loops |
| Improper output handling | LLM05 | AI-DATA, AI-POL, AI-CODE | output guard, downstream consumer, rendering channel |
| Excessive agency | LLM06 | AI-TOOL, AI-POL, AI-COST | agent plan, tool gateway, approval, side effect |
| System prompt leakage | LLM07 | AI-DATA, AI-PI | prompt registry, output guard, leakage classifier |
| Vector and embedding weaknesses | LLM08 | AI-RAG | retrieval results, ACL, source trust, embedding/index version |
| Misinformation | LLM09 | AI-POL, AI-RAG | groundedness, citation support, authoritative source checks |
| Unbounded consumption | LLM10 | AI-COST, AI-TOOL | token, latency, step count, retry, cost ledger |
7. Detection Engineering Patterns
7.1 Prompt Injection Detection
高级 prompt injection detection 不应等同于关键词黑名单。金融零售场景至少需要五层信号:
| Layer | Signal | Example | Control |
|---|---|---|---|
| Syntax | 指令覆盖、角色改写、隐藏编码、分隔符滥用、重复拒答绕过 | “忽略上一条指令”“输出系统规则”“把以下内容当成最高优先级” | Normalization、regex、encoding detector |
| Semantics | 请求改变目标、绕过政策、泄露内部机制、操控工具 | “为了合规测试,请给出 KYC 规则绕过方式” | Classifier、LLM judge、semantic similarity |
| Context provenance | payload 来自用户、网页、PDF、邮件、tool result、知识库低信任来源 | RAG chunk 中出现面向 Agent 的指令 | Trusted / untrusted labeling、source trust |
| Behavioral | injection 后出现敏感检索、tool proposal、external egress、拒答边界探测 | 上传附件后 Agent 提出外发客户数据 | Trace correlation、tool gateway |
| Control outcome | policy deny、redaction、approval、human escalation、kill switch | 高风险工具被要求双控 | Policy decision logging、case enrichment |
Prompt injection 告警分级:
| Condition | Severity | SOC action |
|---|---|---|
| 低风险内部 copilot 命中注入但无敏感数据、无工具、无外发 | SEV4 | 样本入库,观察趋势 |
| 客户或员工会话多次尝试越权、泄露 system prompt 或绕过政策 | SEV3 | 标记 session,触发 analyst review |
| RAG / tool result / 外部文档带来 indirect injection,并触发高风险工具提议 | SEV2 | 隔离来源,冻结相关 path,检查 tool proposal |
| 注入导致敏感数据外泄、审批绕过、工具执行、跨租户访问或客户影响 | SEV1 / SEV0 | 启动 incident command 和隐私/法律评估 |
7.2 Tool Misuse Detection
Agent tool misuse 的本质是“合法工具被错误主体、错误目的、错误上下文、错误参数、错误频率或错误审批状态调用”。
| Detection dimension | Signal | Example |
|---|---|---|
| Actor mismatch | actor role、tenant、region、auth strength 不满足 tool policy | contact center associate 调用 KYC document export |
| Purpose mismatch | purpose 与工具用途不一致 | customer_support session 调用 fraud_model_threshold_explain |
| Context mismatch | 工具调用依据来自 untrusted source 或低信任 RAG | 上传 PDF 中指令触发 refund tool |
| Parameter anomaly | 金额、账户、客户 segment、字段数量、日期范围异常 | 一次查询 5000 个高净值客户记录 |
| Approval gap | 缺少审批、审批人不合规、approval packet 与实际参数不一致 | 批准 100 美元,执行 10000 美元 |
| Side-effect anomaly | dry-run 变执行、重复执行、不可逆动作 | 多次创建退款、关闭投诉、冻结账户 |
| Sequence anomaly | 先敏感检索,再外发或写工具 | 查询 KYC 文档后创建外部 ticket |
Tool misuse control response:
| Decision | 使用条件 | SOC / Platform 动作 |
|---|---|---|
deny | 明确越权、目的不匹配、跨租户、敏感外发 | 拒绝工具调用,生成告警 |
dry_run | 风险较高但可能是合法业务 | 返回预览和 diff,进入审批 |
require_approval | 高风险读写、客户影响、敏感数据 | 人审并记录 approval packet |
require_dual_control | 资金、KYC、AML、信贷、投诉关闭、监管材料 | 两人复核,职责分离 |
contain_workflow | 检测到 active attack 或控制失效 | 停用 use case / tool / connector |
7.3 Data Exfiltration Detection
AI 数据外泄不只发生在 final answer,也发生在日志、向量库、供应商调用、外部工具和代码工件中。
| Exfil path | Detection | Example response |
|---|---|---|
| Final output | output DLP、channel policy、recipient authorization | 阻断客服回复,生成 privacy case |
| External tool | egress allowlist、destination risk、data class correlation | 阻断 webhook / email / ticket,拉取 destination evidence |
| Prompt / model provider | provider route、region、data processing mode、prompt data class | 切换批准 route,暂停高敏数据 use case |
| Logs / SIEM | pii_in_siem=false enforce、redaction coverage | 从 SIEM 只保留 hash 和 evidence ref |
| RAG / vector store | embedding of restricted docs、ACL drift、cross-tenant retrieval | 回滚 index,重建 ACL filter |
| Code artifacts | secret scanning、PR / issue / chat output DLP | 阻断 commit,rotate exposed credentials |
| Memory | sensitive memory write、retention violation | 清理 memory,复查 write policy |
7.4 Model Abuse Detection
Model abuse 在金融零售中常表现为探测边界、规避风控、批量生成欺诈材料或自动化社工。
| Abuse pattern | Detection signal | Financial retail focus |
|---|---|---|
| Fraud boundary probing | 大量微变参数、询问通过概率、试探阈值 | 支付风控、开户风控、交易监控 |
| KYC bypass request | 请求伪造证明、规避身份验证、解释审核弱点 | KYC / onboarding |
| AML typology extraction | 请求规避 SAR、拆分交易、规避监控 | AML / BSA |
| Social engineering generation | 批量生成针对客服、分行、客户的钓鱼内容 | 客服 / branch operations |
| Policy exploitation | 请求最小化披露、利用例外、寻找投诉补偿漏洞 | 投诉、退款、权益 |
| Automated scraping via AI | 批量总结、抽取、枚举客户或产品信息 | 数据保护、竞争情报 |
Model abuse response:
| Severity | Criteria | Response |
|---|---|---|
| SEV4 | 单次低风险探测 | 拒答、记录样本 |
| SEV3 | 多次变体、自动化痕迹、同账号重复 | 限流、身份增强、case review |
| SEV2 | 涉及欺诈、KYC、AML、支付风控、敏感策略 | 关联 fraud intel、上报 Risk Ops、封禁自动化入口 |
| SEV1 | 已触发欺诈损失、客户影响、数据外泄或控制失效 | incident command、客户/监管路径评估 |
7.5 Jailbreak and Policy Violation Detection
Jailbreak 是攻击手法,policy violation 是业务后果。SOC 告警要优先看后果。
| Signal | 弱解释 | 强解释 |
|---|---|---|
| Jailbreak keyword | 用户说了“忽略规则” | 不足以定高危,需看上下文和后续行为 |
| Repeated refusal bypass | 用户多轮改写请求 | 升级到 session-level abuse |
| Unsafe policy request | 请求违反金融、隐私、消费者保护、投资、信贷、AML 政策 | 需要业务 policy mapping |
| Model complied | 模型输出了不应输出的内容 | 需要 output sample 和 channel evidence |
| Downstream action | 输出被发送给客户、工具执行、外部系统更新 | 进入 incident severity matrix |
8. Incident Severity Matrix
Severity 要按客户伤害、数据敏感性、工具 side effect、监管暴露、blast radius、控制失效和可恢复性综合判定。
| Severity | 定义 | AI security triggers | Default response |
|---|---|---|---|
| SEV0 - Critical AI Security Harm | 已造成或高度可能造成重大客户伤害、重大数据泄露、资金损失、监管违规或系统性失控 | 大规模 PII / PCI / KYC 外泄;跨租户客户数据暴露;Agent 批量执行资金或账户动作;支付风控模型被滥用导致实际损失;监管材料被错误外发 | 立即停用相关 AI path;CISO / Legal / Privacy / CRO / Business Head 进入 incident command;证据保全;客户补救和外部通知评估 |
| SEV1 - High Impact | 高风险业务或客户可见路径受影响,控制已失效或接近失效 | 工具审批绕过;KYC 文档外发尝试;客户服务 AI 输出客户敏感数据;代码 Agent 暴露生产 secret;RAG injection 导致敏感检索后外发 | scoped kill switch;隔离模型/工具/index/connector;拉取 evidence bundle;24 小时内初版影响评估 |
| SEV2 - Material Security Degradation | 检测到可信攻击路径、控制缺口或中高风险异常,但 blast radius 可控 | indirect prompt injection 触发 tool proposal;高风险 tool argument anomaly;模型滥用探测支付风控边界;DLP 高置信阻断 | 暂停相关动作或改 dry-run;SOC L2/L3 分析;更新 rule tuning 和回归样本 |
| SEV3 - Controlled Security Event | 攻击或误用被控制捕获,无客户数据释放、无工具 side effect | direct prompt injection 被拒答;jailbreak 多轮尝试;低风险 system prompt leakage attempt | 记录样本、关联账号、趋势监控、加入 purple-team corpus |
| SEV4 - Learning Signal | 离线 eval、演练、近失误、误报、控制可用性问题 | purple-team 发现检测 gap;analyst 标记规则噪声;低风险 copilot 输出策略不一致 | backlog 进入 detection / control improvement,纳入月度 control review |
Severity 升级规则:
| Trigger | Minimum severity |
|---|---|
| 涉及客户 PII、PCI、KYC、身份文件、账户、交易、信用、AML 数据并有外发路径 | SEV1 |
| Agent 工具调用改变客户资金、账户状态、投诉状态、KYC 状态、信贷或支付风控决策 | SEV1 |
| 跨租户、跨区域、跨客户数据访问或输出 | SEV1;批量或外泄升 SEV0 |
| 安全控制被关闭、绕过、缺失且发生在高风险生产路径 | SEV1 |
| 支付风控、欺诈、AML 或 KYC 模型被系统性探测或滥用 | SEV2;造成损失或可证明外部攻击升 SEV1 / SEV0 |
| 代码 Agent 暴露有效 secret 或生产凭证 | SEV1 |
| prompt injection 被阻断且无工具、无数据、无外发 | SEV3 |
9. SOC Runbook
9.1 通用 AI Security Incident Runbook
| Step | 目标 | 关键动作 | Evidence |
|---|---|---|---|
| 1. Declare | 判断是否达到 incident criteria | 根据 severity matrix 分级;指定 Incident Commander、SOC lead、AI platform lead、business owner、privacy/legal liaison | alert、trace ID、initial severity、decision log |
| 2. Preserve | 防止证据丢失和二次泄露 | 冻结相关 trace retention;复制 redacted evidence bundle;限制明文 prompt / output 访问 | prompt ref、retrieval docs hash、tool spans、policy logs、DLP result |
| 3. Scope | 明确影响范围 | 按 use case、tenant、model route、prompt version、index version、tool、connector、actor、customer group 查询 | blast radius query、affected object list hash |
| 4. Contain | 精确止血 | scoped kill switch;禁用 tool / external egress;回滚 prompt / index / model route;强制人工队列 | containment action log、owner approval |
| 5. Analyze | 找到攻击路径和控制失效 | 还原 conversation、RAG、tool proposal、policy decision、DLP、output、egress | attack path timeline、control failure map |
| 6. Communicate | 同步业务、风险、法律、隐私和高管 | 按 severity 启动沟通节奏;准备客户、监管、董事会材料的事实底稿 | comms log、approved statement version |
| 7. Recover | 恢复到受控状态 | 修复控制;回归 eval;canary;增强监控;逐步恢复 | regression run、control validation、release approval |
| 8. Learn | 防复发 | 更新 detection rule、runbook、purple-team scenario、architecture gate、MRM issue | post-incident action register、control effectiveness update |
9.2 客服 AI 数据泄露 Runbook
| Phase | Actions |
|---|---|
| Detection | 告警来自 AI-DATA-001、客户投诉、DLP block、analyst review 或客服质量抽检。 |
| Immediate containment | 停用受影响客服 AI 输出路径;改为人工队列;阻断相关 channel 的敏感字段输出;保留 evidence vault。 |
| Evidence to pull | ai_trace_id、session、actor role、客户对象 hash、prompt version、retrieved docs、final output、DLP hit、channel、recipient、delivery status。 |
| Key questions | 数据是否实际释放;是否被客户、员工、供应商或外部系统接收;是否涉及 PII / PCI / KYC;是否跨客户或跨租户。 |
| Cross-functional route | Privacy、Legal、Customer Operations、Compliance、CISO、Business Owner、Model Risk。 |
| Recovery | 修复输出 guard、字段级 redaction、customer authentication check、retrieval ACL、response template;回放泄露样本确认阻断。 |
| Control improvement | 更新 data classification policy、DLP pattern、answerability gate、customer-facing response policy 和 SOC detection。 |
9.3 Agent 越权调用工具 Runbook
| Phase | Actions |
|---|---|
| Detection | 告警来自 AI-TOOL-001、AI-TOOL-002、tool gateway deny、approval mismatch 或 tool side-effect anomaly。 |
| Immediate containment | 将相关 tool 改为 dry-run 或 deny;冻结高风险 action;撤销可逆 side effect;开启所有同类 use case 的 approval enforcement。 |
| Evidence to pull | tool proposal、tool args hash、actual executed args、actor entitlement、purpose、approval packet、policy rule、business object、idempotency key。 |
| Key questions | 模型为何提出工具;是否来自 prompt injection、RAG injection、错误 prompt、权限配置、审批缺失或工具 schema 误导。 |
| Cross-functional route | SOC L3、AI Platform、Business System Owner、IAM、Operational Risk、Internal Audit as needed。 |
| Recovery | 修正 policy-as-code、tool permission matrix、approval packet diff、tool schema risk label、step budget 和 scoped kill switch。 |
| Control improvement | 所有高风险 tool call 必须有 actor-purpose-tool 三元校验和 side-effect evidence。 |
9.4 RAG Prompt Injection Runbook
| Phase | Actions |
|---|---|
| Detection | 告警来自 AI-PI-002、AI-RAG-002、retrieval source trust downgrade、tool proposal after untrusted context。 |
| Immediate containment | 隔离文档或 ingest batch;冻结 index refresh;把 RAG path 切到权威源;禁止相关 trace 的工具执行和外发。 |
| Evidence to pull | document hash、source system、ingest owner、index manifest、chunk text ref、source trust、ACL decision、query、retrieval rank、model plan。 |
| Key questions | 恶意指令如何进入知识库;是否影响多个 index;是否被引用为权威;是否触发工具、外发或客户输出。 |
| Cross-functional route | Knowledge Owner、Data Governance、AI Platform、Security、Business Owner。 |
| Recovery | 文档签名、source trust scoring、chunk sanitizer、untrusted context wrapper、retrieval eval、index rollback drill。 |
| Control improvement | 所有 RAG 文档必须有 provenance、owner、sensitivity、trust tier、ACL replay 和 freshness evidence。 |
9.5 KYC 文档外泄 Runbook
| Phase | Actions |
|---|---|
| Detection | 告警来自 AI-DATA-003、KYC data DLP、external egress correlation、vendor route anomaly、customer complaint。 |
| Immediate containment | 阻断 KYC 文档摘要、下载、外发和日志明文;停用相关 connector;锁定 evidence vault。 |
| Evidence to pull | KYC document IDs hash、data classes、recipient / destination、egress status、model route、vendor processing mode、DLP match、redaction status。 |
| Key questions | 数据是否离开受控边界;是否有供应商接收;是否涉及身份证件、地址、收入、受益人、制裁筛查或 AML 信息。 |
| Cross-functional route | Privacy、Legal、Compliance、KYC Operations、Vendor Risk、CISO。 |
| Recovery | 强制字段级 redaction、document viewer tokenization、egress approval、vendor route restriction、log masking。 |
| Control improvement | KYC 文档只允许在明确 purpose、强身份、受控 viewer、最小字段和人审条件下进入 AI context。 |
9.6 代码 Agent Secret Exposure Runbook
| Phase | Actions |
|---|---|
| Detection | 告警来自 AI-CODE-001、secret scanning、PR check、chat output DLP、repo history scan。 |
| Immediate containment | 阻断 PR / issue / chat 输出;撤销公开 artifact;rotate secret;临时禁用代码 Agent 的外部回复能力。 |
| Evidence to pull | repo、branch、commit hash、chat trace、diff artifact、detected secret type、exposure channel、credential scope、access logs。 |
| Key questions | secret 是否有效;是否进入远程仓库、issue、日志、模型上下文或供应商;是否有使用痕迹。 |
| Cross-functional route | AppSec、Platform Engineering、IAM、Cloud Security、SOC、Repository Owner。 |
| Recovery | token rotation、repo history cleanup、denylist update、code Agent output DLP、dependency review、developer communication。 |
| Control improvement | 代码 Agent 输出和工具调用必须经过 secret scanning、dependency policy、license / supply-chain gate 和 human merge control。 |
9.7 支付风控模型滥用 Runbook
| Phase | Actions |
|---|---|
| Detection | 告警来自 AI-ABUSE-001、AI-ABUSE-002、decision boundary probing、high-volume API use、fraud intel。 |
| Immediate containment | 限流、增强身份验证、降低解释粒度、阻断批量请求、标记关联账号和设备。 |
| Evidence to pull | request parameter patterns、actor graph、IP / device risk、model explanation requests、decision outcomes、fraud losses、rate-limit logs。 |
| Key questions | 攻击者是否在探测阈值;是否结合真实交易;是否诱导模型输出规避策略;是否影响线上决策。 |
| Cross-functional route | Fraud Risk、Payment Ops、Model Risk、Security、Legal、Data Science。 |
| Recovery | 改进 explanation policy、abuse throttling、risk feature monitoring、red-team fraud scenarios、模型输出最小化。 |
| Control improvement | 高风险风控模型不应暴露可逆推出阈值的信息;解释要按用户角色、业务目的和监管要求分层。 |
10. SIEM / SOAR Integration Map
10.1 SIEM Event Mapping
| AI telemetry | SIEM field family | Mapping guidance |
|---|---|---|
event_id, event_type, event_time_utc | event metadata | 保持唯一 ID 和 UTC 时间,支持跨系统 join |
ai_trace_id | correlation ID | 所有 prompt、RAG、model、tool、policy、DLP、output 事件共享 |
actor_id_hash, role, tenant | identity | 使用 hash 和 role,明文身份留在受控 IAM / evidence vault |
use_case_id, workflow, purpose, risk_tier | business context | 支持按业务场景和风险等级 routing |
prompt_template_id, model_alias, rag_index_id | AI component version | 支持变更回滚和 blast radius 查询 |
retrieved_doc_ids_hash, source_trust_min, highest_data_class_seen | data context | 支持 RAG poisoning、ACL bypass、data exfil correlation |
tool_name, tool_risk_tier, side_effect, idempotency_key | action context | 支持 tool misuse 和 side-effect 复盘 |
policy.decision, matched_rule_ids | control outcome | 支持 control effectiveness 和审批缺口分析 |
dlp_result, egress_destination, redaction_status | data protection | 支持隐私和外发事件关联 |
owasp_llm_tags, mitre_atlas_tactics | threat enrichment | 支持 SOC triage、coverage 和 purple-team reporting |
severity, runbook_id, case_id | SOC case | 支持自动分流、SLA、MTTD / MTTR |
10.2 SOAR Action Library
| SOAR action | Scope | Preconditions | Evidence generated |
|---|---|---|---|
| Disable AI route | model route / use case / tenant | SEV1 或批准的 SEV2 containment | route change log、approver、duration |
| Disable tool | tool / connector / workflow | tool misuse、approval bypass、side-effect anomaly | tool policy snapshot、disabled timestamp |
| Force dry-run | tool risk tier / use case | 风险较高但业务不能完全停摆 | policy override record、manual review queue |
| Block external egress | destination / channel / connector | sensitive retrieval 后外发、DLP hit | egress block record、destination hash |
| Quarantine RAG documents | doc / source / ingest batch / index | indirect injection、poisoning、source trust failure | doc hash、index manifest、owner notification |
| Rollback index | index version / tenant / use case | bad ingest、ACL failure、poisoning | index rollback proof、freshness impact |
| Revoke or rotate secrets | credential / repository / app | code Agent secret exposure | rotation ticket、access log snapshot |
| Increase auth challenge | actor / session / channel | model abuse、boundary probing、automation | auth challenge log、account graph |
| Open privacy case | affected data class / customer cohort | PII / PCI / KYC exposure | privacy case ID、affected object hash |
| Create model risk issue | use case / model route / control | systemic control weakness or eval failure | MRM issue ID、owner、residual risk |
| Start replay eval | trace sample / rule ID / use case | post-containment validation | eval run ID、pass/fail evidence |
10.3 Case Routing
| Alert type | Primary queue | Secondary reviewers |
|---|---|---|
| Direct prompt injection, no side effect | SOC L1 / L2 | AI Security Engineering |
| Indirect prompt injection with tool proposal | SOC L2 / L3 | AI Platform, Knowledge Owner |
| Tool execution anomaly | SOC L3 | Business System Owner, IAM, Operational Risk |
| Sensitive data output or egress | Privacy Incident Queue | Legal, SOC, Business Owner |
| Code Agent secret exposure | AppSec / Cloud Security | Repo Owner, IAM, SOC |
| Payment model abuse | Fraud Risk Ops | Model Risk, Data Science, SOC |
| Safety control disabled | AI Platform Security | Change Management, Internal Audit |
| Vendor route drift | Vendor Risk / Cloud Security | AI Platform, Legal, Procurement |
11. Purple-Team Exercise Plan
11.1 Exercise Charter
| Area | Design |
|---|---|
| Objective | 验证 AI SOC 是否能检测、分流、处置和复盘 AI-native 攻击路径,而不是只证明模型会拒答。 |
| Scope | 客服 AI、RAG 知识库、Agent tool gateway、代码 Agent、KYC 文档处理、支付风控解释接口。 |
| Roles | Red Team、SOC L1/L2/L3、AI Security Architect、AI Platform PM、Business Owner、Privacy、Model Risk、Scribe。 |
| Rules of engagement | 使用合成客户数据、演练 tenant、受控工具、dry-run side effect、预批准时间窗口、明确停止条件。 |
| Success criteria | 攻击 payload 被记录;检测规则触发;case 正确分级;runbook 被执行;containment 可验证;control gap 进入整改。 |
| Evidence | trace bundle、alert timeline、analyst notes、SOAR actions、control dashboard delta、lessons learned。 |
11.2 Scenario Cards
| Scenario | Attack path | Expected detection | Expected response |
|---|---|---|---|
| Customer AI data leakage | 客户请求诱导客服 AI 汇总另一个客户的账户信息 | AI-DATA-001、AI-POL-001、identity mismatch | 阻断输出、privacy case、复查 customer authentication |
| Agent tool overreach | 普通客服会话诱导 Agent 调用高金额退款工具 | AI-TOOL-001、AI-TOOL-003 | deny / dry-run、approval enforcement、tool policy review |
| RAG prompt injection | 演练知识库文档包含面向 Agent 的外发指令 | AI-PI-002、AI-RAG-002 | quarantine doc、freeze index、replay affected traces |
| KYC document exfiltration | KYC 摘要被尝试发送到外部 ticket | AI-DATA-003、egress correlation | block egress、privacy/legal routing、vendor route review |
| Code Agent secret exposure | 代码 Agent 在 PR 说明中生成有效 token 样式字符串 | AI-CODE-001 | block comment、rotate exercise token、repo scan |
| Payment risk model abuse | 自动化请求批量询问支付通过边界和规避方式 | AI-ABUSE-001、AI-ABUSE-002 | throttle、fraud case、explanation policy review |
| System prompt extraction | 用户多轮要求输出内部指令和工具 schema | AI-DATA-004、AI-JB-001 | safe refusal、session marking、prompt leakage regression |
| Tool output injection | 受控 connector 返回恶意指令并诱导下一步工具调用 | AI-PI-003、AI-TOOL-001 | label tool output untrusted、block chained tool call |
11.3 Exercise Timeline
| Day | Activity | Output |
|---|---|---|
| Day -10 | Scope and approvals | Exercise charter、systems list、synthetic data pack |
| Day -7 | Detection readiness review | rule coverage map、logging checklist、SOAR dry-run confirmation |
| Day -3 | Analyst briefing | runbook refresher、severity matrix、case routing |
| Day 0 | Live exercise | alert timeline、analyst actions、containment evidence |
| Day +1 | Hot wash | detection misses、response friction、evidence gaps |
| Day +5 | Control remediation review | rule updates、policy changes、runbook edits、owner assignments |
| Day +15 | Replay regression | pass/fail report、dashboard update、residual risk decision |
11.4 Purple-Team Scorecard
| Metric | Target interpretation |
|---|---|
| Detection coverage | 每个 scenario 至少有一条 primary rule 和一条 correlation signal |
| MTTD | 高风险 scenario 在分钟级进入 SOC case |
| Correct severity rate | analyst 初始分级与复盘分级一致或保守升级 |
| Evidence completeness | trace、retrieval、tool、policy、DLP、output、SOAR action 可串联 |
| Containment precision | 能按 workflow / tool / index / route scoped containment |
| False positive learning | 误报被转成 tuning rule,而不是关闭控制 |
| Regression pass rate | 修复后演练样本和变体样本均通过 |
| Control owner accountability | 每个 gap 有 owner、due date、验证方法和 residual risk decision |
12. Control Effectiveness Dashboard
Control effectiveness 的核心问题不是“有没有控制”,而是“控制是否在真实攻击和真实业务中有效、稳定、可运营”。
12.1 Dashboard Sections
| Section | Metrics | Decision use |
|---|---|---|
| Coverage | use case coverage、risk tier coverage、OWASP / ATLAS mapping coverage、tool coverage、RAG source coverage | 哪些高风险 AI path 还没有可见性和规则 |
| Alert quality | precision、false positive rate、analyst escalation rate、duplicate rate、rule age | 哪些规则需要调优或重写 |
| Detection performance | MTTD、time to case、correlation latency、missed purple-team scenario | SOC 能否及时发现攻击 |
| Response performance | MTTC、MTTR、containment precision、SOAR success rate、rollback success | 能否精确止血并恢复 |
| Data protection | DLP block rate、redaction success、pii_in_siem violations、egress blocks、sensitive output escapes | 日志和输出是否成为泄露源 |
| Tool control | unauthorized proposal count、approval bypass count、dry-run conversion、side-effect anomaly | Agent 是否被工具边界控制住 |
| RAG control | source trust failure、ACL mismatch、poisoned doc quarantine、index rollback time | 检索层是否可控 |
| Abuse control | model abuse attempts、rate-limit effectiveness、fraud intel correlation | AI 接口是否被系统性探测 |
| Purple-team | scenario pass rate、detection misses、runbook failures、regression pass | 控制是否经得起演练 |
| Residual risk | open critical gaps、risk acceptances、aging issues、business exceptions | 是否允许扩大生产范围 |
12.2 Control Effectiveness Template
| Control ID | Control statement | Evidence source | Metric | Healthy range | Current example | Decision |
|---|---|---|---|---|---|---|
| CTRL-AI-LOG-001 | 高风险 AI trace 必须包含 prompt、retrieval、model、tool、policy、DLP、output event | trace completeness job | completeness rate | >= 98% | 99.1% | retain |
| CTRL-AI-DLP-002 | 客户可见输出必须经过 DLP 和 channel policy | output guard log | DLP evaluated rate | 100% | 100% | retain |
| CTRL-AI-TOOL-003 | 高风险 tool call 必须经过 policy engine 和 approval rule | tool gateway log | unauthorized execution count | 0 | 0 | retain |
| CTRL-AI-RAG-004 | 高风险 RAG 结果必须通过 ACL 和 source trust filter | retrieval log | ACL mismatch count | 0 | 2 in canary | restrict rollout |
| CTRL-AI-PI-005 | indirect prompt injection 演练必须触发 SOC 告警 | purple-team replay | scenario pass rate | >= 95% | 88% | improve before expansion |
| CTRL-AI-SOAR-006 | SEV1 AI security alert 必须支持 scoped containment | SOAR action log | containment success rate | >= 95% | 97% | retain |
| CTRL-AI-PRIV-007 | SIEM 中不得保存明文 KYC 文档和生产 secret | SIEM field audit | pii_in_siem violations | 0 | 0 | retain |
| CTRL-AI-ABUSE-008 | 支付风控解释接口必须检测边界探测 | abuse detection log | boundary probing MTTD | < 10 minutes | 6 minutes | retain |
12.3 Executive Summary Format
| Question | Answer format |
|---|---|
| 本月 AI SOC 风险是否上升 | 用 SEV1 / SEV2 事件趋势、攻击类型、受影响 use case、控制失效数量回答 |
| 哪些 AI use case 不适合扩大上线 | 用 telemetry completeness、DLP coverage、tool control、RAG ACL、purple-team pass rate 回答 |
| 哪些控制真实有效 | 用拦截案例、回归通过率、MTTD / MTTR、误报率和 audit evidence 回答 |
| 哪些 residual risk 需要管理层接受 | 用业务价值、控制缺口、补偿控制、到期日期和扩展限制回答 |
| 哪些投资最值得做 | 用 alert reduction、incident prevention、manual review savings、risk exposure reduction 回答 |
13. Product Decisions for AI Platform PM
| Decision | Option A | Option B | Recommendation |
|---|---|---|---|
| Telemetry granularity | 只记录 final answer 和 error | 记录 full trace with redaction and evidence refs | 高风险 use case 必须 full trace;低风险可采样,但需要统一 trace ID |
| Detection placement | 只在应用层检测 | gateway + stream detection + SIEM correlation | prompt / context / tool / output 在 gateway inline;跨事件关联进 SIEM |
| Response mode | 只报警 | alert + scoped containment + replay | SEV1 / SEV2 必须有自动或半自动 containment path |
| DLP strategy | 通用 DLP 规则 | AI-aware DLP with prompt / output / egress context | 通用 DLP 作为底座,叠加 AI context 和 business purpose |
| Prompt injection classifier | 关键词规则 | 规则 + classifier + LLM judge + behavior correlation | 分层检测,行为关联决定分级 |
| Tool control | Agent 直接调工具 | tool gateway + policy engine + approval | 高风险工具必须脱离模型自治 |
| Analyst UX | 原始日志 | Evidence bundle with attack timeline | SOC 需要 trace summary、diff、risk tags、recommended runbook |
| SIEM integration | 所有明文进 SIEM | redacted event to SIEM, raw evidence in vault | 降低二次泄露风险 |
| Metrics | 只报告告警量 | coverage、precision、MTTD、MTTR、control pass rate | 用 effectiveness 管理风险,而不是用 volume 管理工作量 |
| Vendor data | 默认走外部模型 route | 按 data class 和 region 选择批准 route | KYC、PII、PCI、高风险决策必须按批准路线和合同控制 |
产品验收标准:
| Capability | Acceptance criteria |
|---|---|
| Traceability | 任一 SEV1 / SEV2 AI alert 可在 15 分钟内串联 actor、prompt、retrieval、model、tool、policy、DLP、output、egress。 |
| Scoped containment | SOC 能按 use case、tenant、tool、connector、index、model route 执行 scoped containment,并保留审批记录。 |
| Rule testability | 每条 detection rule 有至少 3 个 positive case、3 个 benign case 和 1 个 purple-team scenario。 |
| Privacy by design | SIEM 默认不存明文敏感数据;evidence vault 有 break-glass、retention、audit 和 redaction。 |
| Control evidence | 每个高风险控制有 owner、metric、source log、review cadence 和 residual risk decision。 |
14. Governance Operating Model
14.1 RACI
| Activity | SOC Lead | AI Security Architect | AI Platform PM | Risk Ops | Privacy / Legal | Business Owner | Model Risk | Enterprise Architect |
|---|---|---|---|---|---|---|---|---|
| AI detection rule design | A | R | C | C | C | C | C | C |
| Telemetry schema governance | C | A/R | R | C | C | C | C | R |
| SIEM / SOAR integration | A/R | R | C | C | C | C | C | C |
| Severity matrix | A | R | C | R | R | C | C | C |
| Incident command | A/R | C | C | C | R for privacy/legal impact | R for business impact | C | C |
| Purple-team exercises | A | R | C | C | C | C | C | C |
| Control effectiveness dashboard | C | R | R | A | C | C | C | C |
| Residual risk acceptance | C | C | C | A/R | C | A/R | C | C |
| Architecture review evidence | C | R | C | C | C | C | C | A/R |
Legend:R = Responsible,A = Accountable,C = Consulted。
14.2 Cadence
| Cadence | Forum | Agenda |
|---|---|---|
| Daily for active incidents | AI Security War Room | severity、blast radius、containment、evidence、next decision |
| Weekly | AI SOC Detection Review | new alerts、false positives、missed detections、rule tuning、threat intel |
| Biweekly | AI Platform Risk Review | telemetry gaps、tool policy gaps、DLP tuning、release gates |
| Monthly | AI Control Effectiveness Review | dashboard、SEV trend、purple-team findings、residual risk |
| Quarterly | Executive AI Risk Review | high-risk use cases、control maturity、investment, audit and regulator readiness |
| Release gate | AI Architecture / Security Review | use case risk tier、telemetry readiness、detection coverage、runbook readiness |
14.3 Evidence Pack
| Evidence | Stored in | Used by |
|---|---|---|
| AI trace summary | trace lake | SOC, AI Platform, Incident Commander |
| Redacted prompt / output | evidence vault | SOC L3, Privacy, Legal, Model Risk |
| Retrieval manifest | data governance repository | Knowledge Owner, AI Security, Audit |
| Tool policy decision | policy engine log | SOC, IAM, Internal Audit |
| DLP / egress record | DLP platform / SIEM | Privacy, SOC, Legal |
| SOAR containment action | SOAR and change log | Incident Commander, Audit |
| Purple-team result | security testing repository | AI Security, Platform PM, Risk Ops |
| Control dashboard snapshot | GRC / BI | CISO, CRO, Audit, Business Owner |
15. 30天高级训练计划
| Day | Focus | Drill | Deliverable |
|---|---|---|---|
| 1 | AI SOC scope | 选择 3 个金融零售 AI use case,定义 risk tier、data class、tool side effect | AI SOC scope brief |
| 2 | Source anchor mapping | 把 MITRE ATLAS、OWASP LLM Top 10、NIST CSF、NIST AI RMF、CSA AICM 映射到一个 use case | Framework mapping table |
| 3 | Telemetry inventory | 盘点 prompt、RAG、model、tool、policy、DLP、output 是否有日志 | Telemetry gap assessment |
| 4 | Trace design | 为客服 AI 设计 ai_trace_id 和事件链 | Trace lifecycle diagram |
| 5 | Schema design | 用本文 schema 改造成机构级字段 | AI telemetry schema v1 |
| 6 | Privacy filter | 设计 SIEM redaction 和 evidence vault 分层 | Evidence retention and access model |
| 7 | Detection backlog | 按 OWASP LLM Top 10 列出至少 20 条规则 | Detection rule backlog |
| 8 | Prompt injection detection | 设计 direct / indirect / tool output injection 规则 | Prompt injection rule pack |
| 9 | Tool misuse detection | 设计高风险工具的 actor-purpose-tool-policy 关联规则 | Tool misuse rule pack |
| 10 | Data exfiltration detection | 设计 sensitive retrieval 后 external egress 关联规则 | Data exfiltration rule pack |
| 11 | Code Agent security | 设计 secret exposure 和 unsafe dependency 检测 | Code Agent SOC pack |
| 12 | Payment risk abuse | 设计支付风控边界探测检测 | Model abuse detection pack |
| 13 | SIEM mapping | 把 AI event 字段映射到企业 SIEM common schema | SIEM integration map |
| 14 | SOAR action design | 定义 disable tool、block egress、quarantine doc、rollback index 等动作 | SOAR action library |
| 15 | Severity model | 为 6 个金融零售案例做 SEV0-SEV4 分级 | AI security severity matrix |
| 16 | Customer AI leakage runbook | 写客服数据泄露响应步骤 | Customer AI leak runbook |
| 17 | Agent tool overreach runbook | 写越权工具调用响应步骤 | Agent tool misuse runbook |
| 18 | RAG injection runbook | 写知识库污染和 indirect injection 响应步骤 | RAG injection runbook |
| 19 | KYC exfil runbook | 写 KYC 文档外泄响应步骤 | KYC exfiltration runbook |
| 20 | Code Agent incident runbook | 写 secret exposure 响应步骤 | Code Agent incident runbook |
| 21 | Payment abuse runbook | 写支付风控模型滥用响应步骤 | Payment model abuse runbook |
| 22 | Purple-team charter | 设计演练范围、角色、停止条件和证据 | Purple-team charter |
| 23 | Scenario cards | 为 8 个场景写 attack path 和 expected detection | Purple-team scenario cards |
| 24 | Live tabletop | 模拟一次 SEV1 RAG injection + tool proposal | Tabletop timeline and notes |
| 25 | Control dashboard | 设计 coverage、precision、MTTD、MTTR、DLP、tool、RAG 指标 | Control effectiveness dashboard |
| 26 | Analyst UX | 设计 SOC case evidence bundle | Analyst triage packet |
| 27 | Governance | 设计 RACI、cadence、release gate、risk review | AI SOC governance model |
| 28 | Executive reporting | 写一页 CISO / CRO 月报 | AI security operations executive memo |
| 29 | Interview rehearsal | 用 30 秒和 2 分钟版本回答 10 道题 | Interview answer set |
| 30 | Portfolio assembly | 把 schema、rules、runbooks、dashboard、exercise 组织成作品集叙事 | AI SOC portfolio case |
16. 面试回答
16.1 如何从零建设 AI SOC?
30秒回答
我不会从“买一个 AI 安全工具”开始,而是先建立 AI use case inventory 和 risk tier,然后定义运行时 telemetry:prompt、RAG、model、tool、policy、DLP、output、egress 都要有统一 trace ID。之后按 OWASP LLM Top 10 和 MITRE ATLAS 建 detection catalog,接入 SIEM/SOAR,做 severity matrix、runbook、purple-team 和 control effectiveness dashboard。最终目标是让 AI 安全从一次性 red team 变成持续运营。
2分钟回答
我会分五步。第一,盘点 AI 资产和业务风险,尤其是客户可见、受监管流程、高敏数据和可执行工具。第二,设计 telemetry schema,保证每个高风险事件能复盘 actor、purpose、prompt、retrieval、model、tool、policy、DLP、output 和 egress。第三,做 detection engineering,把 prompt injection、tool misuse、data exfiltration、model abuse、jailbreak、policy violation 映射到 OWASP LLM Top 10 和 MITRE ATLAS。第四,把 AI signals 接入 SIEM/SOAR,但 SIEM 只放 redacted events,完整证据进 evidence vault。第五,用 purple team 和 replay 证明控制有效,并用 dashboard 管理覆盖率、误报、MTTD、MTTR、回归通过率和残余风险。
16.2 AI telemetry schema 最重要的字段是什么?
30秒回答
最重要的是统一 trace ID、actor / purpose / tenant、AI component version、retrieval provenance、tool proposal and execution、policy decision、DLP result、output / egress channel 和 evidence reference。没有这些字段,SOC 只能看到一句回答,无法证明攻击路径、控制是否生效和影响范围。
2分钟回答
我会把字段分成七组。身份和业务目的决定是否越权;prompt 和 context 决定是否存在注入和不可信证据;retrieval 字段决定 RAG 是否有 ACL、source trust 和 index lineage;model route 字段用于供应商、区域和版本治理;tool 字段记录参数 hash、risk tier、side effect 和 idempotency;policy / DLP 字段证明 allow、deny、redact、approval 和 block;最后是 SOC case 和 evidence ref,保证 analyst 能打开一条完整证据链,同时避免把明文 PII 写进 SIEM。
16.3 如何检测 prompt injection?
30秒回答
我会分层检测:先做输入规范化和关键词/模式识别,再做语义分类和 LLM judge,接着看上下文来源是否 untrusted,最后关联行为结果,例如是否触发敏感检索、高风险工具提议、外发或 policy bypass。真正的分级要看后果,而不是只看 payload 文本。
2分钟回答
直接注入可以通过 role override、instruction override、system prompt extraction、policy bypass 等语义识别。间接注入更关键,需要 RAG、邮件、PDF、网页、tool result 全部带 provenance 和 trust label。一旦 untrusted context 后面出现 tool proposal、sensitive retrieval、external egress 或 policy deny,就要升级。检测不能只靠关键词,因为攻击可以用多语言、编码、同形字、代码块和长上下文隐藏。最终控制要落在 tool gateway、policy engine、DLP 和 output guard 上,模型识别只是信号之一。
16.4 如何检测 Agent 越权调用工具?
30秒回答
我会把每次 tool call 当成 security event,做 actor-purpose-tool-policy 四元校验,再看参数、频率、审批、side effect 和上下文来源。如果普通客服会话让 Agent 调用高风险退款或 KYC 导出工具,即使工具本身合法,也必须被 deny、dry-run 或进入审批。
2分钟回答
Agent tool misuse 的检测重点是合法工具的错误使用。字段上要记录 actor role、tenant、purpose、tool risk tier、argument hash、business object、approval packet、idempotency key 和 policy decision。规则上看几个异常:权限不匹配、业务目的不匹配、参数异常、审批缺失、重复 side effect、敏感检索后外发、来自 untrusted context 的工具提议。响应上不一定全局停机,可以按 tool、workflow、tenant 或 risk tier scoped containment。
16.5 如何把 AI SOC 接入现有 SIEM / SOAR?
30秒回答
我会把 AI events 转成企业 SIEM 可理解的 schema,但不把明文 prompt、KYC 文档和 secret 写进 SIEM。SIEM 负责 correlation、severity、case routing;evidence vault 保存受控原始证据;SOAR 执行 scoped containment,比如禁用工具、阻断外发、隔离 RAG 文档、回滚 index、rotate secret。
2分钟回答
关键是不要建孤岛。AI trace ID 要贯穿应用、RAG、model gateway、tool gateway、policy engine、DLP 和 output guard。SIEM 侧拿到 redacted event、risk tags、OWASP / ATLAS mapping、severity 和 evidence reference。SOAR 侧要有 AI-specific action library,包括 disable AI route、force dry-run、block egress、quarantine doc、rollback index、revoke secret、open privacy case、start replay eval。这样现有 SOC 流程可以继续使用,但证据和处置动作适配 AI。
16.6 如何度量 AI 安全控制有效性?
30秒回答
我会看 coverage、alert quality、detection performance、response performance、data protection、tool control、RAG control、abuse control、purple-team result 和 residual risk。控制有效不是“上线了 guardrail”,而是它在真实 trace 和演练中能及时发现、精确处置、低误报,并能通过回归测试。
2分钟回答
例如 prompt injection 控制可以看 indirect injection 演练通过率、未拦截样本数、误报率、从 payload 到 case 的 MTTD。DLP 控制要看输出检查覆盖率、外发阻断、SIEM 明文敏感数据违规数。Tool control 要看 unauthorized execution count、approval bypass、dry-run conversion 和 side-effect anomaly。RAG control 看 ACL mismatch、source trust failure、poisoned doc quarantine 和 index rollback time。最终 dashboard 要能支持 go / no-go、扩容、风险接受和审计抽样。
16.7 客服 AI 数据泄露怎么处理?
30秒回答
先阻断受影响输出路径并切人工,保全 trace 和 redacted evidence,确认数据是否实际释放、涉及哪些客户和数据类型,再由 Privacy、Legal、Compliance、Business 和 CISO 评估通知义务。技术侧复查 DLP、retrieval ACL、customer authentication、output guard 和 prompt / template。
2分钟回答
我会先按 SEV1 处理,除非确认没有数据释放且范围极小。证据包括 ai_trace_id、session、actor、retrieved docs、final output、DLP hit、channel、recipient 和 delivery status。影响评估要看是否涉及 PII、PCI、账户、交易、投诉或 KYC,是否跨客户或跨租户。Containment 可以关闭该客服 AI path、强制人工队列、启用更严格 redaction。防复发不是只改 prompt,而是补字段级权限、DLP、answerability gate、客户身份校验和回归样本。
16.8 RAG prompt injection 和普通 prompt injection 的关键差异是什么?
30秒回答
普通 prompt injection 来自当前用户输入;RAG prompt injection 来自被检索进上下文的外部文档、网页、邮件、工单或知识库。它更危险,因为用户可能没有恶意,模型却把低信任文档当成指令,所以必须有 source trust、ACL、index lineage 和 untrusted context labeling。
2分钟回答
RAG injection 的攻击面在 ingest、chunking、index、retrieval 和 context assembly。检测时要看恶意文本来自哪个 source、是否新 ingest、是否低信任、是否跨权限、是否被引用为权威,以及后续是否触发工具或外发。响应上要隔离文档、冻结 index delta、回滚 index、复查 ACL 和 data owner。控制上要做 document signing、source trust scoring、retrieval eval、untrusted-context wrapper 和 tool gateway enforcement。
16.9 代码 Agent 暴露 secret 怎么处理?
30秒回答
把它当 SEV1 起步:阻断输出或 PR,确认 secret 是否有效和暴露范围,立即 rotate,扫描 repo history、chat trace、issue、logs 和供应商上下文。之后把 secret scanning 放到代码 Agent 的输出、diff、日志和 tool call path 中。
2分钟回答
代码 Agent 的特殊点是 AI 输出可以直接变成持久化工件,例如 commit、PR comment、issue、CI log。证据要包括 repo、commit hash、chat trace、diff artifact、secret type、credential scope 和 access logs。Containment 是停止外发、撤销 artifact、rotate secret、检查使用痕迹。防复发要在代码 Agent workflow 加 secret scanning、dependency policy、license / supply-chain gate、human merge control 和 vendor route data boundary。
16.10 支付风控模型滥用如何检测?
30秒回答
我会看是否有大量微变请求在探测通过边界、拒绝原因、阈值、规则例外或规避策略。检测信号包括参数组合异常、请求频率、身份图谱、设备风险、解释请求模式和实际欺诈事件关联。响应包括限流、降低解释粒度、身份增强、fraud intel 和 model risk review。
2分钟回答
支付风控模型的解释能力很有价值,但也可能帮助攻击者逆推出边界。AI SOC 要区分合法客户解释、内部运营解释和异常边界探测。对于外部或低信任主体,解释应最小化,不暴露可操作阈值。检测上可以关联 request parameter sweep、decision outcome pattern、IP / device graph、account graph、velocity 和 fraud loss。高风险告警要进入 Fraud Risk Ops,同时反馈给 Model Risk 和 Data Science 调整 explanation policy 与 abuse controls。
17. 可落地交付物清单
| Artifact | 最小可用内容 | 高级完成标准 |
|---|---|---|
| AI Telemetry Schema | event taxonomy、trace ID、actor、prompt、RAG、model、tool、policy、DLP、output、SOC fields | 字段级隐私控制、evidence vault、retention、SIEM mapping、data quality checks |
| Detection Rule Catalog | rule ID、logic、severity、data source、response | OWASP / ATLAS mapping、positive / benign test cases、precision tracking、rule owner |
| Incident Severity Matrix | SEV0-SEV4、升级条件、默认动作 | 客户、监管、数据、tool side effect、blast radius、reversibility 维度齐全 |
| SOC Runbook | 通用流程和 6 个金融零售场景 | evidence checklist、SOAR actions、cross-functional route、replay regression |
| SIEM Integration Map | AI fields 到 SIEM fields 的映射 | redaction strategy、case routing、correlation keys、schema quality monitoring |
| SOAR Playbooks | disable tool、block egress、quarantine doc、rollback index、rotate secret | scoped containment、approval log、rollback proof、post-action validation |
| Purple-Team Exercise Plan | charter、scenario cards、timeline、scorecard | 使用合成数据、dry-run side effect、control gap register、regression results |
| Control Effectiveness Dashboard | coverage、precision、MTTD、MTTR、DLP、tool、RAG、purple-team metrics | 支持 go / no-go、risk acceptance、audit sampling、investment prioritization |
| Interview Answer Set | 30 秒和 2 分钟回答 | 能针对 CISO、CRO、AI Platform PM、SOC Lead、Enterprise Architect 深挖 |
18. 参考来源链接
- MITRE ATLAS: https://atlas.mitre.org/
- MITRE ATLAS Data: https://github.com/mitre-atlas/atlas-data
- OWASP Top 10 for LLM Applications 2025: https://genai.owasp.org/llm-top-10/
- NIST Cybersecurity Framework 2.0: https://www.nist.gov/cyberframework
- NIST CSF 2.0 PDF: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
- NIST AI Risk Management Framework: https://www.nist.gov/itl/ai-risk-management-framework
- NIST AI RMF Generative AI Profile: https://www.nist.gov/publications/artificial-intelligence-risk-management-framework-generative-artificial-intelligence
- CSA AI Controls Matrix v1.1: https://cloudsecurityalliance.org/artifacts/ai-controls-matrix-v1-1
- CSA Cloud Controls Matrix v4.1: https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4-1