Профили сканирования¶
Профиль сканирования — это именованный набор атак с настроенными параметрами, который определяет, какие тесты безопасности выполняются при запуске сканирования. Профиль привязан к модальности целевой модели (LLM, изображения или аудио).
Список профилей¶
Для просмотра списка профилей сканирования перейдите в раздел Профили сканирования.
Над таблицей отображаются:
- Счётчик Всего — общее количество профилей.
- Кнопка создания нового профиля (значок «+»).
- Поле Искать — текстовый поиск по имени.
Колонки таблицы¶
| Колонка | Описание |
|---|---|
| Имя профиля | Имя профиля сканирования |
| Описание | Краткое описание профиля |
| Тип профиля | llm, image, audio, text, tabular или model_audit (статический анализ файла модели) |
| Создатель | Логин пользователя, создавшего профиль |
| Дата добавления | Дата создания |
Действия в строке¶
В правой части строки доступны три кнопки:
- Запустить — открывает диалог запуска сканирования с предварительно выбранным профилем.
- Редактировать — открывает мастер редактирования профиля.
- Удалить — удаление профиля.
Создание профиля¶
Профиль создаётся через мастер из четырёх шагов: Основная информация → Выбор атак → Настройка атак → Обзор.
- В разделе Профили сканирования нажмите кнопку создания профиля (значок «+»).
- Последовательно пройдите шаги мастера.
Шаг 1. Основная информация¶
Заполните поля профиля:
| Поле | Описание |
|---|---|
| Имя профиля | Произвольное имя профиля |
| Описание | Краткое описание |
| Тип профиля | Тип целевой модели: LLM, Изображения или Аудио |
Доступные типы профилей
- LLM — для тестирования языковых моделей.
- Изображения — для CV-моделей.
- Аудио — для ASR-моделей.
После выбора типа профиля LLM становятся доступны дополнительные блоки настройки судьи и списка фраз отказа.
Конфигурация судьи (только для LLM)¶
В блоке Конфигурация судьи выберите стратегию оценки ответов модели:
| Стратегия | Описание |
|---|---|
| Simple | Оценка по словарю фраз отказа (быстро, без вызова LLM) |
| Orchestrator | Ансамбль из нескольких детекторов с агрегированием результатов |
| LLM Judge | Оценка с привлечением языковой модели в роли судьи (требуется системная модель типа LLM Judge) |
Свой список фраз отказа (только для LLM)¶
В блоке Свой список фраз отказа можно добавить пользовательские фразы, которые судья будет считать признаком отказа модели от ответа. Список дополняет встроенный словарь системных и кастомных фраз.
Лимит — до 200 фраз. Если ответ модели содержит любую фразу из списка (без учёта регистра), он помечается судьёй как отказ.
После заполнения полей нажмите Далее.
Шаг 2. Выбор атак¶
В списке доступных атак отметьте те, которые войдут в профиль. Состав списка зависит от типа профиля.
Фильтр по типу доступа¶
Над списком доступен фильтр атак:
- Все — все атаки.
- White-box — атаки с доступом к весам и градиентам модели.
- Black-box — атаки только через API модели.
- Hybrid — комбинированные подходы.
Доступные атаки по типам профиля¶
- LLM: одна сводная атака Jailbreak Attack Suite, объединяющая множество техник джейлбрейка. White-box-атаки для LLM недоступны (языковые модели не загружаются в память).
- Изображения: 19 атак, сгруппированных по категориям Gradient Perturbation, Optimization, Transfer & Feature, Universal & Physical, Black-Box (например, FGSM, PGD, DeepFool, C&W, UAP, ZOO).
- Аудио: 6 атак — JingleBack, PIBA, DABA, PBSM, Ultrasonic, BIM.
Для любого из этих типов профиля (LLM, Изображения, Аудио) в списке атак отдельным пунктом доступен «Model Injection — анализ файла модели» — статическая проверка файла модели на исполняемые закладки. Его можно добавить к обычным атакам профиля или выбрать как единственную проверку. Комбинированный профиль с Model Injection запускается только на локально загруженной модели и расходует одну единицу лицензии. Подробнее — в разделе про Model Injection Scan.
Подробное описание атак
Описание конкретных атак и их назначения см. в разделах Джейлбрейк-атаки, CV-атаки и ASR-атаки.
После выбора атак нажмите Далее.
Шаг 3. Настройка атак¶
На этом шаге настраиваются параметры каждой выбранной атаки. Состав параметров зависит от атаки.
Для быстрого старта оставьте параметры по умолчанию. Подробное описание параметров см. в разделах Джейлбрейк-атаки, CV-атаки и ASR-атаки.
Jailbreak Attack Suite (LLM)¶
Атака содержит три подраздела настройки:
| Подраздел | Назначение |
|---|---|
| Базовые параметры | Максимум промптов, количество повторов, лимит запросов в секунду, источник промптов, язык, категории промптов, блоки «Уголовный кодекс РФ» и «Adversarial Suffixes» |
| Тактики атак | Выбор техник джейлбрейка из таксономии атак: Plain, Roleplay (с подкатегориями), Output Formatting, Instruction Override, Task Deflection и других. Блок также содержит секции «Трансформации» (Encoding, Obfuscation) и «Продвинутые режимы» (Break Fun, Function Injection, DoubleSpeak, CAMO, Crescendo) |
| Unified Pipeline | Многоэтапный конвейер трансформаций промптов (обфускация → кодирование → ролевая игра). На каждом этапе настраиваются тип трансформации, режим комбинирования и набор техник. Кнопка + Добавить этап позволяет добавить дополнительный этап в конвейер |
Приоритет Unified Pipeline
Если Unified Pipeline включён, индивидуальные настройки секций Encoding, Obfuscation и Roleplay из блока «Тактики атак» игнорируются. Pipeline задаёт собственный набор техник и порядок их применения.
В нижней части блока Unified Pipeline отображается калькулятор количества запросов, учитывающий мультипликативный эффект конвейера, количество базовых промптов и суффиксов.
CV-атаки (пример FGSM)¶
Для FGSM настраиваются параметры:
| Поле | Описание |
|---|---|
| Epsilon | Максимальная амплитуда возмущения (по умолчанию 0.10) |
| Целевая атака | Признак targeted-атаки (по умолчанию включён) |
| Целевой класс | Индекс целевого класса для targeted-атаки |
Параметры других CV-атак отличаются — см. CV-атаки.
ASR-атаки (пример DABA)¶
Для DABA настраиваются параметры:
| Поле | Описание |
|---|---|
| Частота (Гц) | Частота акустического триггера |
| Длительность (с) | Длительность триггера |
| Циклы | Количество циклов инъекции |
| Частота дискретизации | Sample rate аудиосигнала |
| Ограничение амплитуды (clip) | Признак ограничения амплитуды |
| Режим перегрузки (overload) | Признак режима перегрузки |
| Формат аудио | Целевой формат, в котором адверсальное аудио отправляется в модель: wav, mp3 или ogg. Если целевая модель не принимает wav, выберите поддерживаемый ею формат — аудио будет автоматически сконвертировано перед отправкой. По умолчанию — wav (без конвертации). |
Параметры других ASR-атак отличаются — см. ASR-атаки.
Формат аудио на уровне профиля и атаки
Целевой формат аудио можно задать на уровне профиля (общий для всех ASR-атак профиля) и переопределить для отдельной атаки. Приоритет: значение атаки → значение профиля → wav по умолчанию.
Сжатые форматы и эффективность атак
Форматы mp3 и ogg используют сжатие с потерями, которое может ослабить адверсальное возмущение. Выбирайте конвертацию только если целевая модель не принимает wav. Фактически отправленный формат фиксируется в результатах атаки.
После настройки нажмите Далее.
Шаг 4. Обзор¶
На последнем шаге отображается сводка профиля:
- Блок Основная информация — имя и тип профиля.
- Блок Атаки (N) — таблица выбранных атак.
- Блок Настройки <тип>-атак — параметры каждой выбранной атаки.
Для создания профиля нажмите кнопку Создать профиль. После сохранения профиль появится в таблице раздела Профили сканирования.
Редактирование профиля¶
Для редактирования существующего профиля:
- В разделе Профили сканирования в строке нужного профиля нажмите кнопку Редактировать.
- Откроется мастер с заголовком Редактирование профиля в том же четырёхшаговом формате.
- Внесите изменения и завершите работу мастера.
Запуск сканирования по профилю¶
Запустить сканирование можно прямо из таблицы профилей:
- В строке нужного профиля нажмите кнопку Запустить.
- В открывшемся диалоге Новое сканирование выберите модель и при необходимости скорректируйте параметры запуска.
- Подтвердите запуск.
Подробнее
Полное описание запуска и мониторинга сканирований приведено в разделе Запуск сканирований.
Удаление профиля¶
Для удаления профиля:
- В строке нужного профиля нажмите кнопку Удалить.
- Подтвердите удаление.