面试题
以下问题覆盖 AI 安全的概念、架构、实现与生产落地,适用于初级、中级与高级工程师面试。
初级
1. 什么是提示注入(Prompt Injection)?如何防御?
答案要点:攻击者通过输入覆盖系统提示或诱导模型执行非预期行为。防御包括:输入过滤、系统提示与外部数据分离、最小权限工具、输出过滤、人在回路、多层 Guardrails。
2. API Key 泄露后应该做什么?
答案要点:立即吊销泄露的 Key;审计其访问记录与影响范围;轮换相关凭证;检查日志是否有异常调用;复盘泄漏原因并改进流程。
3. RBAC 与 ABAC 有什么区别?
答案要点:RBAC 基于角色静态授权;ABAC 基于用户、资源、环境等属性动态授权。ABAC 更灵活但策略更复杂。
4. 为什么 AI 系统需要专门的 Guardrails?
答案要点:开放自然语言输入无法被传统 WAF/签名检测有效覆盖;需要检测提示注入、越狱、有害输出、PII 泄露等语义层风险。
5. 简述零信任的核心原则。
答案要点:永不信任、始终验证;最小权限;假设 breach;持续监测;强身份验证。
中级
6. 如何为 LLM Gateway 设计多租户 API Key 管理?
答案要点:
- 每个租户独立 key 空间,key 与 tenant claim 绑定。
- 使用 Vault/Secret Manager 存储,按环境隔离。
- Gateway 负责认证,并将 tenant 信息透传给下游。
- 按 tenant 限流、计费、审计。
- 定期轮换,支持紧急吊销。
7. 在 Agent 系统中如何防止工具滥用?
答案要点:
- 工具 capability 最小化,每个 Agent 只能调用需要的工具。
- 调用前做 schema 校验与授权检查。
- 在 sandbox/受限网络中执行工具。
- 设置超时、最大步数、人工审批门槛。
- 记录每次调用与参数到审计日志。
8. OPA 与 OpenFGA 分别适合什么场景?
答案要点:OPA 是通用策略引擎,适合 API 授权、Gateway 策略、Kubernetes admission;OpenFGA 专注 ReBAC,适合共享文档/项目/集合的细粒度访问控制。
9. 如何保护训练数据中的 PII?
答案要点:
- 数据收集阶段最小化,获得合法授权。
- 使用 Presidio、DLP 等工具检测与脱敏。
- 采用差分隐私、k-匿名等技术。
- 建立数据血缘,记录清洗规则。
- 训练环境隔离,限制访问。
10. 模型供应链安全应关注哪些环节?
答案要点:基础模型来源、微调适配器、训练数据集、依赖库、容器镜像、Prompt 模板、模型仓库。控制措施包括签名、SBOM、镜像扫描、来源验证、WORM 审计。
高级
11. 设计一个 AI 安全网关的架构,列出关键组件与数据流。
答案要点:
- 边缘:WAF、DDoS、bot 管理、TLS termination。
- 认证:OIDC/API Key/mTLS。
- 授权:OPA/OpenFGA/Cedar。
- 输入 Guardrails:提示注入、越狱、PII 检测。
- 路由到 LLM/Agent/RAG,记录 trace。
- 输出 Guardrails:有害内容、PII、代码安全。
- 审计日志到 SIEM,支持告警与溯源。
12. 如何在零信任架构下保护模型训练集群?
答案要点:
- 训练集群与生产网络隔离,egress 严格受限。
- 工作负载使用 SPIFFE/SPIRE 身份。
- 数据湖、模型仓库、训练任务之间 mTLS + 细粒度授权。
- 数据静态加密,敏感字段加密。
- 训练镜像签名、模型输出签名。
- 审计所有数据访问与模型导出。
13. 欧盟 AI Act 对中国企业出海 AI 服务有什么影响?
答案要点:
- AI Act 按风险分级,高风险系统需满足透明度、人类监督、数据治理、记录保存等义务。
- 通用目的人工智能模型(GPAI)有系统性风险时需进行模型评估、红队测试、事件报告。
- 需在服务条款中披露 AI 生成内容、版权训练数据摘要等。
- 可能需要在欧盟指定授权代表。
14. 如何评估 Guardrails 的误杀与漏检?
答案要点:
- 建立标注数据集,包含正常样本、注入样本、越狱样本、有害输出样本。
- 计算精确率、召回率、F1、误杀率、漏检率。
- 按业务场景设定可接受阈值。
- A/B 测试新规则,观察用户投诉与自动指标。
- 持续用红队结果补充测试集。
15. 你所在团队发生模型权重泄露事件,请给出 24 小时响应清单。
答案要点:
- 第 0-1 小时:隔离模型仓库访问,吊销相关凭证,通知安全与法务。
- 第 1-4 小时:审计访问日志,确定泄露范围与时间线,确认是否有外发痕迹。
- 第 4-12 小时:通知受影响客户/监管(如法规要求),启动事件响应小组。
- 第 12-24 小时:收集证据,准备技术根因,启动模型水印追踪,制定修复与复盘计划。
小结
AI 安全面试不仅考察概念,更关注如何在真实系统中把身份、策略、网络、数据、模型与审计串成闭环。准备时建议结合自己项目中的具体决策与 trade-off 来回答。