跳到主要內容

【Azure OpenAI】o1 模型與 2024-09-01-preview API

距離上篇在 Early Access Playground 試用 o1 模型後又過了兩週,今天終於等到 API 開放使用啦!本篇將紀錄如何使用 Python SDK 存取 o1 模型。 系列文章 【Azure OpenAI】快速試用 o1 模型 模型佈署 在先前開放的 Early Access Playground 中使用 o1 是不需要另外佈署模型的,不過回到使用 API 來存取 o1 模型,就需要像之前的模型一樣先進行佈署才能使用,相信大家都很熟悉了。 使用 Python SDK 一樣使用熟悉的 openai 套件: 2024-09-01-preview 初始化的方式與先前模型都一樣,需要注意的是 o1 模型目前只能使用最新的 API 版本 2024-09-01-preview 來訪問。 Chat Completions 將 model 填入 o1-preview ,或是你的模型佈署名稱, messages 也一樣是歷史對話堆疊的 List。 回應如下: 查看 Token 使用量 內建 Chain of Thought 的 o1 比起過往的模型會消耗較多的 Token,因此我們特別把 Token 使用量拉出來看。 回應如下: 其中 prompt_tokens 、 completion_tokens 、 total_tokens 在先前的 API 就已經存在了,分別代表Token 的 Input、Output 與總使用量,而在新的 completion_tokens_details 中可以看到  reasoning_tokens 使用了 320 個 Tokens,居然佔了總輸出 Token 的 80% 以上! 控制 Token 成本 已往我們可以使用  max_tokens 參數來控制 Token 的用量,但在 o1 模型中棄用了 max_tokens ,取而代之的是使用  max_completion_tokens 參數,來看看這段程式碼: 回應如下: 沒東西?那再看一次 Token 量。 回應如下: Token 居然是有被使用的! 這表示 max_completion_tokens 並不像過往使用  max_tokens 這麼簡單,先前在回應遇到...
張貼留言

【Application Gateway】試著攻擊 WAF

只要討論到 Web 應用程式的資安問題,在 Azure 官方文件中都是唯一推薦使用 Web Application Firewall (WAF),好奇心驅使下的我一直很想知道 WAF 到底會怎麼防禦這些資安攻擊,於是以下我嘗試了幾種最簡單的攻擊手法,來看看 WAF 會有哪些反應。

WAF on Azure Application Gateway

WAF 其實本身不是一項單獨的服務,它更像是其他服務內的進階功能,以我們這次選擇的 Azure Application Gateway 為例,你必須要選擇 WAF_v2 等級的 SKU 才能享受到 WAF 的資安保護。

再來我們還需要一個可以被測試攻擊的網頁做為 Application Gateway 的後端,最快速的方式就是建立一個 App Service,在這個測試中我們不需要編寫任何網頁或測試,直接使用 App Service 的預設入口即可。

建立 Virtual Network

首先我們先建立一個 10.10.0.0/16 的虛擬網路,其中 10.10.1.0/24 的子網段會分配給 Application Gateway 使用。

建立 Public IP

接著因為我們會透過 Application Gateway 將網頁對外,所以勢必需要一個公用 IP。

建立 Application Gateway

再來就是建立 Application Gateway 了,這邊記得要對應上剛剛建立的子網段與公用 IP。

Application Gateway 使用 Portal UI 創建時會需要你點一堆東西,但如果使用 AZ CLI 就可以跳過這些點擊,並給你一組基本的設定。

建立 App Service

如前面提到的,我們需要一個 App Service 做為測試的網頁,首先建立 App Service Plan。

接著在 Plan 上建立 App Service。

設定 Application Gateway

再來我們需要在 Application Gateway 上加上一點設定,來讓 Application Gateway 可以將流量導入 App Service。

後端集區

使用 AZ CLI 建立的 Application Gateway 會帶有一個預設的後端集區 appGatewayBackendPool,我們在其中的後端目標新增上剛剛建立好的 App Service。

後端設定

一樣會有一組名為 appGatewayBackendHttpSettings 的預設後端設定,將通訊協定改為 HTTPS 443,並設定以新的主機名稱複寫。

確認設定

設定完成後稍等幾分鐘,進入「監視」→「後端健康狀態」,確認 Application Gateway 可以看得到我們的 App Service。


最後使用瀏覽器開啟 Application Gateway 的公用 IP,確認看到 App Service 的預設畫面就可以了。

開啟 WAF

到此我們將環境都搭建完成,再來進入「設定」→「Web 應用程式防火牆」把最重要的 WAF 開起來。

開啟後等待五分鐘,確保 WAF 生效後就能開始測試了。

WAF 測試

以下我們使用最簡單的 SQL Injection 與 Cross-Site-Scripting (XSS) 範例,並且在 URL Path 中插入這些攻擊。

SQL Injection:?id=1 OR 1=1

這條攻擊預期透過 OR 1=1 來讓搜尋條件無效,藉此得到整個 Table 的資訊。

SQL Injection:?id=1'; DROP TABLE users; --

另一個標準的攻擊方式,目標是刪除資料庫的整張表。

XSS:?q=<script>alert('XSS')</script> 

標準的 XSS 範例,目的是讓網頁執行其中的 JavaScript。

總結

以上我們使用 Application Gateway 與 App Service 建立了一個最簡單的 WAF 架構,並且在我們對 WAF 執行了一些標準的 SQL Injection 與 XSS 攻擊後,WAF 都成功擋下這些攻擊。

儘管我們沒有用到專業的攻擊手法來做測試,但至少看到了 WAF 在網頁前方的運作機制,同時開發人員也不用更動任何程式碼,只需要一個開啟設定就能對網頁產生一定程度的保護,對於資安團隊而言 WAF 還是相當值得投資的一項服務。

標籤:
位置: 407台灣台中市西屯區

留言

張貼留言

這個網誌中的熱門文章

【Azure OpenAI】購買 PTU 時微軟不會告訴你的事

Provisioned Throughput Units 一直是目前在 Azure OpenAI 對於延遲問題的最有效解法,同時也是官方最推薦的方案。有別於基本的隨付即用,PTU 具有穩定、可預測的延遲等優勢,適合用於正式上線的生產環境。 但 PTU 的成本是一個不可忽視的問題,儘管選購最小單位量的 PTU,也是需要應用到達一定規模後才看得出使用效益。在確認是否購買 PTU 時,除了詳細閱讀官方文件並使用官方推出的計算機規劃額度外,以下幾點或許也是你該注意的。 不可自行購買 PTU 首先,是的,截自撰文當日 (2024/07/09) PTU 只能透過微軟業務窗口洽詢購買細節,這可能對於多數用戶是不友善的,但我相信這個過程很快就能得到優化。 相關連結: https://learn.microsoft.com/en-us/azure/ai-services/openai/concepts/provisioned-throughput#how-do-i-get-access-to-provisioned PTU 的可用區域僅供參考 在官方文件中記錄了下述表格,其中詳細的呈現各種模型的 PTU 在不同地區的可用性,但這張表只是一個參考,因為當你洽詢業務窗口時你會得到另一張不同的表格。 其中對於台灣用戶可能最有影響的,是我們沒辦法在日本東部購買 gpt-4o 模型的 PTU,對於想透過購買 PTU 以降低模型延遲的用戶來說這是一個矛盾的選擇,當然更不用提隨之產生的跨區傳輸量成本。 一樣截至撰文為止,為何在打勾區域✅無法購買的問題,官方並沒有給出任何理由,或許是我們採購量沒有達到官方需要解釋的程度😔 相關連結: https://learn.microsoft.com/en-us/azure/ai-services/openai/concepts/provisioned-throughput#what-models-and-regions-are-available-for-provisioned-throughput 有別於你認知的定價策略 承如前述,PTU 的成本絕對是導入時的重要考量點。 PTU 的售價到底是多少 事實上 PTU 的官方售價早就是公開的秘密,稱之為秘密是因為 PTU 的售價截至目前並沒有被列在官方文件或定價計算機中,但在最新的 Azure OpenAI S...
張貼留言
閱讀完整內容

【Azure OpenAI】o1 模型與 2024-09-01-preview API

距離上篇在 Early Access Playground 試用 o1 模型後又過了兩週,今天終於等到 API 開放使用啦!本篇將紀錄如何使用 Python SDK 存取 o1 模型。 系列文章 【Azure OpenAI】快速試用 o1 模型 模型佈署 在先前開放的 Early Access Playground 中使用 o1 是不需要另外佈署模型的,不過回到使用 API 來存取 o1 模型,就需要像之前的模型一樣先進行佈署才能使用,相信大家都很熟悉了。 使用 Python SDK 一樣使用熟悉的 openai 套件: 2024-09-01-preview 初始化的方式與先前模型都一樣,需要注意的是 o1 模型目前只能使用最新的 API 版本 2024-09-01-preview 來訪問。 Chat Completions 將 model 填入 o1-preview ,或是你的模型佈署名稱, messages 也一樣是歷史對話堆疊的 List。 回應如下: 查看 Token 使用量 內建 Chain of Thought 的 o1 比起過往的模型會消耗較多的 Token,因此我們特別把 Token 使用量拉出來看。 回應如下: 其中 prompt_tokens 、 completion_tokens 、 total_tokens 在先前的 API 就已經存在了,分別代表Token 的 Input、Output 與總使用量,而在新的 completion_tokens_details 中可以看到  reasoning_tokens 使用了 320 個 Tokens,居然佔了總輸出 Token 的 80% 以上! 控制 Token 成本 已往我們可以使用  max_tokens 參數來控制 Token 的用量,但在 o1 模型中棄用了 max_tokens ,取而代之的是使用  max_completion_tokens 參數,來看看這段程式碼: 回應如下: 沒東西?那再看一次 Token 量。 回應如下: Token 居然是有被使用的! 這表示 max_completion_tokens 並不像過往使用  max_tokens 這麼簡單,先前在回應遇到...
張貼留言
閱讀完整內容

【Azure OpenAI】快速試用 o1 模型

在 OpenAI 與 Azure OpenAI 同時發佈 o1 系列模型的一週後,我也順利通過 Azure OpenAI 的使用申請啦!本篇就來快速試用一下最新的o1 系列模型。 提出申請 目前如果要使用 o1 系列模型都需要經過微軟的資格審查,申請表單可以參考以下連結,表單只需要填寫一份,申請通過後 o1-preview 和 o1-mini 兩個模型都能使用。 相關連結: https://aka.ms/oai/modelaccess 使用 AI Studio 首先你必須要有一個位於 美東 2 地區的 Azure OpenAI 資源,不管是原有的或是新建立的資源都可以。 因為目前 o1 系列模型還處於早期訪問階段,資源中不需要自行佈署模型,取而代之的是需要透過 Early Access Playground 才能使用到 o1 系列模型。 而這次比較特別的是只能使用 AI Studio 的 Playground,看得出來微軟要慢慢整併掉 Azure OpenAI Studio 了。 草莓問題 這次就拿近期已經被大家玩爛的草莓問題來測試,在這個問題中我們會詢問 GPT 在「Strawberry」這個單字裡包含了多少個字母「r」,沒錯,這個草莓問題就是這麼簡單無聊,但結果卻出乎意料。 gpt-4o:兩次 gpt-4o 會有非常高的機率回答:兩次,看似如此簡單的問題又能讓 gpt-4o 屢屢回答錯誤,這就是草莓問題出名的原因,大家也可以自己嘗試看看。 o1-preview:三次 反觀加入 Chain of Thought 概念的 o1-preview 就輕鬆解決了這個草莓問題 😂 總結 根據官方資訊,具有 Chain of Thought 的 o1 模型犧牲了回應的即時性,但大幅改善在邏輯與推理類型問題中的表現,同時成本方面 o1-preview 相較 gpt-4o-0806 貴了 6 倍,對於企業來說就需要好好思考是否有適用的情境了,不過現階段還是繼續期待 API 可用的那天。
張貼留言
閱讀完整內容