2026-08-09 –, AU
你花了一個週末串好 RAG、接上 MCP、部署了一個會自動回 Issue 的 LLM Agent——然後你就直接上線了。沒有 input validation、沒有權限控制、System Prompt 裸奔。別擔心,大家都這樣,而且不需要資安背景也能跟上。今天我們直接開 terminal,打給你看。
這場議程會告訴你上線前該做好的三件事:一、管好你的 System Prompt——我們會現場用 Prompt Injection 把它整段偷出來,然後示範怎麼用 NemoClaw Guardrail 擋住。二、清洗你的 RAG 資料來源——我們會在知識庫文件裡埋 Indirect Prompt Injection,讓你的 Agent 做出它不該做的事,然後示範 content sanitization 怎麼實作。三、限制你的 Agent 權限——我們會讓一個有過多權限的 Agent 自己刪掉自己的資料,然後用 least privilege 原則加上 tool call 權限控制修好它。
每一件事都是「現場用 OpenClaw 打給你看,再用 NemoClaw 修給你看」,全部開源,git clone 就能跑。你會帶走一份可以直接丟進 repo 的安全 checklist。
Fngi 專注於 AI 安全治理與 LLM 紅隊測試。曾任多家台灣機構 CISO,同時擔任 GDG Taipei Organizer 及台灣金融研訓院 AI 安全講師。擁有超過十年資安與全端工程經驗。