S0022中等

RAG 系統來源引用不透明

運行與監控

風險描述

RAG 系統的回答混合了多個來源的資訊,但未清楚標示哪些內容來自哪個文件。使用者無法判斷回答中哪些部分是直接引用、哪些是 AI 推論、哪些可能是幻覺。在法律和醫療場景中,缺乏來源追溯可能導致使用者對錯誤資訊過度信任。

框架對照

iso 23894R4
tw principle透明與可解釋
tw risk type技術設計缺陷(Technical Design Flaw)

控制措施

  • RAG 來源標註
  • 引用追溯機制

處理步驟

  1. 在 RAG 回應中為每個資訊片段標註來源文件
  2. 區分「直接引用」和「AI 推論」的內容
  3. 提供「查看原文」連結讓使用者驗證
  4. 標記 RAG 未找到相關來源而由模型自行生成的段落