S0109Significant

推論 API 缺乏存取控制

Deployment

Risk Description English translation pending

AI 模型的推論 API 端點未設置適當的認證和授權機制,任何知道 URL 的人可直接呼叫。在企業內部,「先部署再安全」的心態常導致推論 API 以開放狀態上線。攻擊者可利用此漏洞大量查詢模型(用於竊取)、傳送惡意輸入、或消耗運算資源導致服務不可用。

Framework Mappings

iso 23894R2
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)

Controls English translation pending

  • API 認證與授權
  • 速率限制

Implementation Steps English translation pending

  1. 對所有推論 API 實施 JWT/OAuth2 認證
  2. 根據使用者角色設定 API 授權範圍(RBAC)
  3. 實施每用戶/每 IP 的速率限制
  4. 部署 API Gateway 統一管理認證、限流和日誌記錄