快轉到主要內容
  1. Posts/

使用 AI、理解 AI、攻擊 AI|我的 2026 Q1 HTB AI Red Teamer 學習之旅

·2057 字·5 分鐘

在 2025 年,我對 AI 的接觸主要在幾個工具的使用。像是 ChatGPT、Gemini 可以用來問問題;NotebookLM 用在閱讀文件、整理學習資料時非常方便;Napkin 可以把文字快速生成簡報用圖片,省下不少做 PPT 的時間。

AI 提升了我在工作和學習上的效率。從過去工業革命的歷史經驗來看,只要是能夠明顯改善效率、解決痛點的工具,往往就會成為未來趨勢,因此我認為 AI 會是下一個重要的技術浪潮。

不過在 2025 年,我大部分時間都在準備 OSCP 和 CISSP 這兩張證照,因此沒有太多時間能夠深入了解 AI。但我也替自己訂下目標:2026 年一定要開始好好了解這個領域。

到了 2026 年,我開始閱讀 HTB 的 AI Red Teamer Path。雖然之前就已經常聽到像是 Prompt Injection 這類型的攻擊,但只停留在名詞上的理解。直到 Q1 學習前四個模組的過程中,才開始對 AI 背後運作的底層邏輯有了比較具體的認識。

這篇文章主要是記錄我在 2026 Q1 學習 HTB AI Red Teamer Path 前四個模組的一些心得。

我對 AI 的理解
#

在學習 HTB AI Red Teamer Path 的過程中,模組一 (Fundamentals of AI) 除了簡單介紹 AI 的歷史外,也介紹了許多 AI 相關的演算法。這些演算法在學習時覺得像天書一樣很難看懂,只大概知道 AI 背後有各種不同演算法在運作。

但到了模組二 (Applications of AI in InfoSec),透過實作 AI 判斷 Spam、偵測網路異常流量,以及惡意軟體分類等 LAB 之後,開始抓到比較核心的概念 — AI 其實只是在做資料的機率預測

當在我們輸入一段文字時,生成式 AI 的模型會根據訓練資料集與目前的上下文,選擇機率最高的結果生成出來。因此 AI 不是真的在思考,而是在解一個非常龐大的機率計算問題。

當理解這個運作原理之後,原本覺得很神奇的現象就變得比較容易了解。例如為什麼有時候 ChatGPT 會出現幻覺、為什麼輸入相同問題,產生的回答仍然會有些差異。

這層原理的理解對我來說是一個蠻重要的轉變。現在我使用 AI 時會開始思考:要怎麼設計 prompt 才能讓 AI 更精準的生成我所需要的內容。

生成式 AI 系統的組成
#

在模組三 (Introduction to Red Teaming AI) 中,開始從資安的角度介紹生成式 AI 系統的組成。這部分讓我又有了新的收穫:過去我只覺得 AI 是資料 + 模型,但實際上 AI 是一整套系統

HTB 將 AI 系統依照安全面向拆成四個元件:

  • Model: 語言模型本身。攻擊者通常會關注模型的輸入與輸出,例如是否可以透過惡意輸入影響模型行為或取得不應該被輸出的資訊。

  • Data: 所有與模型運作相關的資料,例如訓練資料、外部知識庫等。攻擊者通常會關注在取得敏感資料或造成資料污染。

  • Application: 所有與生成式 AI 相關的應用程式,例如常見的網站 Chatbot。攻擊者可能會利用應用程式本身的漏洞,導致 AI 被未授權存取。

  • System: 實際執行生成式 AI 的系統,例如作業系統、API、資料庫等。攻擊者可能會利用系統設定錯誤進行提權。

這些元件與攻擊方法以簡易圖片顯示如下:

從架構圖可以發現,AI 攻擊面分散在不同的層次,從使用者輸入、應用程式邏輯、模型推論,到後端系統整合都有可能成為攻擊點。

也因此在了解 OWASP LLM Top 10 內容時,會看到相對複雜的威脅架構圖。因為 LLM 的安全問題需要從整個系統的角度來看。

OWASP LLM Top 10
圖片來源:https://www.thecloudgirl.dev/blog/owasp-top-10-for-llms-and-genai

Prompt Injection 是什麼
#

在模組四 (Prompt Injection Attacks) 中,開始講到大家耳熟能詳的 Prompt Injection

在一般生成式 AI 的應用中,會有兩種類型的 Prompt:

  • System Prompt: 由開發者設計,用來定義 AI 的角色、行為規則與限制。例如 AI 的身份 (客服、助理等)、不應該回答的問題以及回答的格式。

  • User Prompt: 使用者輸入的問題。

在人的理解與應用程式的設計上,System Prompt 會被視為比較高權限的指令,用來控制模型行為。但從 LLM 的角度來看並沒有差別

LLM 在處理輸入時,會把所有文字一起放進 context 中,然後根據整體內容去做預測推斷,換句話說,對 LLM 而言 System Prompt 和 User Prompt 都是輸入資料。

System Prompt 範例

你是一個友善的客服聊天機器人
任務是協助使用者解決我們平台的任何技術問題
只能回答與此服務相關的內容
以下是使用者的問題:

User Prompt 範例

我想取得產品的使用說明書

合併後範例 (LLM 視角)

你是一位友善的客服聊天機器人
你的任務是幫助使用者解決關於我們平台的任何技術問題
你只能回覆符合此領域要求的查詢
以下是使用者的查詢:

我想取得產品的使用說明書

而 Prompt Injection 就是利用這一點影響 LLM 對整體上下文的理解,例如:

簡言之,Prompt Injection 就是對 AI 進行詐騙

Q1 的 AI 學習總結
#

我從原本只是使用 AI,到今年開始理解 AI 怎麼運作,再進一步學習 AI 系統攻擊。在這過程中,最大收穫不是增加了多少新技術,而是從底層邏輯去了解生成式 AI 系統。

這個原理不管是在使用 AI、設計 AI 應用或是從資安角度思考的面向上都會帶來很多幫助,也讓我在面對 AI 時代快速變化的環境中,少了一點焦慮感。