—— RAG 不只是「檢索＋生成」，也是資安攻防的主戰場。

對象：AI 工程師、架構師、資安團隊
主題關鍵詞：RAG｜越權檢索｜毒化文檔｜隱私洩露｜向量庫安全

💬 開場：為什麼 RAG 有隱憂？

RAG（Retrieval-Augmented Generation）是許多企業導入 GenAI 的首選架構。
但別忘了：它的核心流程就是「把文件丟進庫裡 → 再丟給模型」。
如果檔案有毒、權限設計鬆散，整個 Pipeline 就成了攻擊跳板。

🧠 RAG 的三大安全陷阱

🛡️ 防禦思路：三層防線

1. 入口防線（Ingest Guard）

   • 文件上傳即掃描：惡意 prompt、PII、機敏標記。
   • Metadata 打標：租戶 ID、分類、敏感度。

2. 檢索防線（Retriever Guard）

   • Top-K 限制：避免一次撈太多。
   • ACL / ABAC：檢索結果與使用者身份綁定。
   • Recency Filter：過舊資料排除，避免資訊殘留。

3. 生成防線（Answer Guard）

   • 模型前置審查：過濾敏感字串、指令型內容。
   • 模型後置 DLP：輸出過濾個資與敏感資訊。

🧰 工程實作建議

1) 文件 Ingest 掃描（Python 範例）

def scan_doc(text:str)->dict:
    alerts=[]
    if "password" in text.lower(): alerts.append("⚠️ Secret Detected")
    if any(pii in text for pii in ["@gmail.com","+886"]): alerts.append("⚠️ PII Detected")
    return {"alerts":alerts}

doc = "客戶密碼是 123456, 聯絡信箱 abc@gmail.com"
print(scan_doc(doc))

2) Retriever ACL 驗證（Pseudo-code）

def retriever(query, user):
    docs = vector_db.search(query, top_k=5)
    return [d for d in docs if d.tenant_id == user.tenant_id]

3) Answer DLP 後置過濾

def answer_guard(text:str)->str:
    SENSITIVE=["password","secret","信用卡"]
    for s in SENSITIVE:
        text=text.replace(s,"[REDACTED]")
    return text

📊 KPI / SLO 指標

• Poisoned Doc Block Rate：惡意文檔攔截率
• Over-Retrieval Block Rate：越權檢索阻擋率
• PII Leakage Rate：紅隊測試中洩漏比例
• DLP Coverage：回答過濾命中率
• Audit Completeness：檢索與回答是否具備完整審計紀錄

🎭 工程師小劇場

PM：我們把所有文件都丟進 RAG，就能回答一切問題！
你：也能回答駭客的問題，順便把我們的 API Key 貼出去。

🎯 小結

RAG 的強大，來自於它能接觸文件；但這也是最大風險。
落實三層防線（Ingest / Retriever / Answer），再搭配審計與紅隊測試，才能避免 RAG 從知識助理變成「內鬼共犯」。

🔮 明日預告：Day 20｜向量庫攻防

聊聊向量資料庫的安全性：資料投毒、ACL 設計、以及如何防禦查詢濫用。