مهندسی پرامپت برای پاسخهای قابل اطمینان تولید شده توسط هوش مصنوعی به پرسشنامههای امنیتی
مقدمه
پرسشنامههای امنیتی برای بسیاری از شرکتهای SaaS یک گلوگاه هستند. یک ارزیابی فروشنده میتواند شامل دهها سؤال دقیق درباره حفاظت از دادهها، واکنش به حوادث، کنترل دسترسی و موارد دیگر باشد. تولید دستی پاسخها زمانبر، مستعد خطا و غالباً منجر به تکرار کار در تیمها میشود.
مدلهای زبان بزرگ (LLM) مانند GPT‑4، Claude یا Llama 2 توانایی نوشتن پاسخهای متنی با کیفیت بالا را در ثانیهها دارند. اما استفاده مستقیم از این توانایی روی یک پرسشنامه به ندرت نتایج قابل اعتمادی میدهد. خروجی خام ممکن است از زبان سیاستگذاری منحرف شود، بندهای مهم را از دست بدهد یا شواهدی را که وجود ندارند، «توهمی» کند.
مهندسی پرامپت — تمرین منظم برای نوشتن متنی که یک LLM را هدایت میکند — شکاف بین توانمندی تولیدی خام و استانداردهای سختگیرانهٔ انطباق مورد نیاز تیمهای امنیتی را پر میکند. در این مقاله چارچوبی تکرارپذیر برای مهندسی پرامپت ارائه میکنیم که یک LLM را به یک دستیار قابل اعتماد برای خودکارسازی پرسشنامههای امنیتی تبدیل میکند.
ما به موارد زیر میپردازیم:
- چگونگی جاسازی دانش سیاستی مستقیماً در پرامپتها
- تکنیکهای کنترل لحن، طول و ساختار
- حلقههای اعتبارسنجی خودکار که ناسازگاریها را پیش از رسیدن به حسابرسان میگیرند
- الگوهای یکپارچهسازی برای پلتفرمهایی مانند Procurize، شامل یک نمودار جریان کار Mermaid
در پایان راهنما، متخصصان ابزارهای ملموسی خواهند داشت که میتوانند فوراً برای کاهش زمان پاسخگویی به پرسشنامهها بین ۵۰ ٪ – ۷۰ ٪ بهبود دقت پاسخها به کار گیرند.
۱. درک چشمانداز پرامپت
۱.۱ انواع پرامپت
| نوع پرامپت | هدف | مثال |
|---|---|---|
| پرامپت متنی زمینهای | به LLM بخشهای مرتبط از سیاست، استانداردها و تعاریف را میدهد | “در زیر قطعهای از سیاست ما دربارهٔ رمزنگاری در حالت استراحت از SOC 2 آمده است…” |
| پرامپت دستورالعملی | دقیقاً نحوهٔ قالببندی پاسخ را به مدل میگوید | “پاسخ را در سه پاراگراف کوتاه بنویسید، هر پاراگراف با یک عنوان بولد آغاز شود.” |
| پرامپت قیودی | محدودیتهای سختگیرانهای مانند تعداد کلمات یا واژگان ممنوع را تنظیم میکند | “از ۲۵۰ کلمه بیشتر نکنید و از واژهٔ ‘شاید’ استفاده نکنید.” |
| پرامپت اعتبارسنجی | یک چکلیست تولید میکند که پاسخ باید آن را برآورده کند | “پس از نوشتن پاسخ، هر بخش از سیاستی که ارجاع داده نشد را فهرست کنید.” |
یک خط تولید پاسخ به پرسشنامه معمولاً چندین نوع از این پرامپتها را در یک درخواست ترکیب میکند یا از روش چندمرحلهای (پرامپت → پاسخ → بازپرامپت) استفاده میکند.
۱.۲ چرا پرامپتهای تکمرحلهای شکست میخورند
یک پرامپت ساده تکمرحلهای مانند «به سؤال امنیتی زیر پاسخ بده» معمولاً:
- حذف – ارجاعات مهم به سیاست را از دست میدهد.
- توهم – مدل کنترلهای غیر موجود را میسازد.
- زبان ناسازگار – پاسخ از لحن غیررسمی استفاده میکند که با لحن انطباق شرکت تضاد دارد.
مهندسی پرامپت با ارائهٔ دقیق اطلاعات مورد نیاز به LLM و درخواست خودارزیابی خروجی، این ریسکها را کاهش میدهد.
۲. ساخت چارچوب مهندسی پرامپت
در زیر چارچوب گامبهگامی آورده شده که میتواند بهصورت یک تابع قابل استفاده مجدد در هر پلتفرم انطباقی کدگذاری شود.
۲.۱ گام ۱ – بازیابی قطعات مرتبط سیاست
از یک پایگاه دانش جستجوپذیر (فضای برداری، گرافدیتابیس یا ایندکس کلیدواژه ساده) برای استخراج بخشهای مرتبط سیاست استفاده کنید.
مثال پرسش: “رمزنگاری در حالت استراحت” + “ISO 27001” یا “SOC 2 CC6.1”.
نتیجه ممکن است به شکل زیر باشد:
Policy Fragment A:
“All production data must be encrypted at rest using AES‑256 or an equivalent algorithm. Encryption keys are rotated every 90 days and stored in a hardware security module (HSM).”
۲.۲ گام ۲ – ترکیب قالب پرامپت
قالبی که تمام انواع پرامپت را ترکیب میکند:
[CONTEXT]
{Policy Fragments}
[INSTRUCTION]
You are a compliance specialist drafting an answer for a security questionnaire. The target audience is a senior security auditor. Follow these rules:
- Use the exact language from the policy fragments where applicable.
- Structure the answer with a short intro, a detailed body, and a concise conclusion.
- Cite each policy fragment with a reference tag (e.g., [Fragment A]).
[QUESTION]
{Security Question Text}
[CONSTRAINT]
- Maximum 250 words.
- Do not introduce any controls not mentioned in the fragments.
- End with a statement confirming that evidence can be provided on request.
[VERIFICATION]
After answering, list any policy fragments that were not used and any new terminology introduced.
۲.۳ گام ۳ – ارسال به LLM
قالب ترکیبشده را از طریق API به LLM انتخابی بفرستید. برای قابلیت بازتولید، دما = 0.2 (تصادفی کم) و max_tokens را مطابق با محدودیت کلمه تنظیم کنید.
۲.۴ گام ۴ – تجزیه و اعتبارسنجی پاسخ
LLM دو بخش باز میگرداند: پاسخ و چکلیست اعتبارسنجی. یک اسکریپت خودکار بررسی میکند:
- تمام برچسبهای قطعهٔ مورد نیاز حضور دارند.
- هیچ نام کنترلی جدیدی ظاهر نمیشود (در مقایسه با یک لیست سفید).
- شمارش کلمات محدودیت را رعایت میکند.
اگر هر قاعدهای شکست، اسکریپت یک بازپرامپت با بازخورد زیر ایجاد میکند:
[FEEDBACK]
You missed referencing Fragment B and introduced the term “dynamic key rotation” which is not part of our policy. Please revise accordingly.
۲.۵ گام ۵ – اضافهکردن پیوندهای شواهد
پس از اعتبارسنجی موفق، سیستم بهطور خودکار پیوندهای شواهد پشتیبان (مثلاً لاگهای چرخش کلید، گواهینامههای HSM) را اضافه میکند. خروجی نهایی در «هاب شواهد» Procurize ذخیره میشود و برای بازبینیکنندگان قابل مشاهده است.
۳. نمودار گردش کار واقعی
نمودار Mermaid زیر جریان کار انتها‑به‑انتها را در یک پلتفرم انطباقی SaaS نشان میدهد.
graph TD
A["کاربر پرسشنامه را انتخاب میکند"] --> B["سیستم قطعات مرتبط سیاست را بازیابی میکند"]
B --> C["سازنده پرامپت پرامپت چندبخشی را ترکیب میکند"]
C --> D["LLM پاسخ + چکلیست اعتبارسنجی را تولید میکند"]
D --> E["اعتبارسنج خودکار چکلیست را تجزیه میکند"]
E -->|موفق| F["پاسخ ذخیره میشود، پیوندهای شواهد اضافه میشوند"]
E -->|ناموفق| G["بازپرامپت با بازخورد"]
G --> C
F --> H["بازبینیکنندگان پاسخ را در داشبورد Procurize میبینند"]
H --> I["حسابرسی تکمیل شد، خروجی صادر شد"]
تمام برچسبها در داخل نقلقولها قرار دارند.
۴. تکنیکهای پیشرفته پرامپت
۴.۱ نمایش چند‑نمونهای (Few‑Shot)
ارائهٔ چند زوج سؤال‑پاسخ مثال در پرامپت میتواند ثبات را بهطور چشمگیری افزایش دهد. مثال:
Example 1:
Q: How do you protect data in transit?
A: All data in transit is encrypted using TLS 1.2 or higher, with forward‑secrecy ciphers. [Fragment C]
Example 2:
Q: Describe your incident response process.
A: Our IR plan follows the [NIST CSF](https://www.nist.gov/cyberframework) (NIST 800‑61) framework, includes a 24‑hour escalation window, and is reviewed bi‑annually. [Fragment D]
LLM اکنون یک سبک مشخص برای تقلید دارد.
۴.۲ پرامپت «زنجیرهٔ فکر» (Chain‑of‑Thought)
مدل را تشویق کنید تا پیش از پاسخگویی گامبهگام فکر کند:
Think about which policy fragments apply, list them, then craft the answer.
این کار توهم را کاهش میدهد و ردپایی شفاف از استدلال مدل فراهم میکند که میتواند ثبت شود.
۴.۳ تولید افزوده‑بازرسی (Retrieval‑Augmented Generation – RAG)
بهجای استخراج قطعات قبل از پرامپت، اجازه دهید LLM در طول تولید به یک فضای برداری پرسوجو کند. این روش برای corporaهای بزرگ و دائماً در حال تحول بسیار مناسب است.
۵. یکپارچهسازی با Procurize
Procurize پیشنیازهای زیر را دارد:
- مخزن سیاست (مرکزسازیشده، کنترل نسخه)
- ردیاب پرسشنامه (وظایف، نظرات، ردپای حسابرسی)
- هاب شواهد (ذخیرهسازی فایل، لینکگذاری خودکار)
ادغام خط لوله مهندسی پرامپت شامل سه فراخوانی API کلیدی است:
GET /policies/search– دریافت قطعات بر پایهٔ کلیدواژههای استخراجشده از سؤال پرسشنامه.POST /llm/generate– ارسال پرامپت ترکیبی و دریافت پاسخ + چکلیست اعتبارسنجی.POST /questionnaire/{id}/answer– ارسال پاسخ معتبر، پیوست کردن پیوندهای شواهد و علامتگذاری وظیفه بهعنوان تکمیلشده.
یک wrapper سبک Node.js میتواند به شکل زیر باشد:
async function answerQuestion(questionId) {
const q = await api.getQuestion(questionId);
const fragments = await api.searchPolicies(q.keywords);
const prompt = buildPrompt(q.text, fragments);
const { answer, verification } = await api.llmGenerate(prompt);
if (verify(verification)) {
await api.submitAnswer(questionId, answer, fragments.evidenceLinks);
} else {
const revisedPrompt = addFeedback(prompt, verification);
// تکرار یا حلقه تا پاس شدن
}
}
زمانی که در رابط کاربری Procurize مکانیزم «تولید خودکار پاسخ» کلیک میشود، نوار پیشرفت این مراحل را مطابق نمودار Mermaid نشان میدهد.
۶. سنجش موفقیت
| معیار | مقدار پایه | هدف پس از مهندسی پرامپت |
|---|---|---|
| متوسط زمان ایجاد پاسخ | ۴۵ دقیقه | ≤ ۱۵ دقیقه |
| نرخ اصلاحات انسانی | ۲۲ ٪ | ≤ ۵ ٪ |
| انطباق ارجاع به سیاست (برچسبها) | ۷۸ ٪ | ≥ ۹۸ ٪ |
| نمره رضایت حسابرس | ۳.۲/۵ | ≥ ۴.۵/۵ |
این KPIها از طریق داشبورد تحلیلی Procurize جمعآوری میشوند. نظارت مداوم امکان تنظیم دقیق قالب پرامپت و انتخاب قطعات سیاست را فراهم میکند.
۷. مشکلات رایج و راهحلها
| مشکل | نشانه | راهحل |
|---|---|---|
| اضافهبار پرامپت با قطعات نامربوط | خروجی مدل کمی طولانی میشود، تاخیر LLM افزایش مییابد | پیش از گنجاندن، آستانهٔ شباهت (مثلاً cosine similarity > 0.78) را اعمال کنید |
| نادیده گرفتن دمای مدل | گاهی خروجی خلاقانه اما نادرست | برای کارهای انطباقی دما را به مقدار کم (0.1‑0.2) ثابت کنید |
| عدم نسخهبندی قطعات سیاست | پاسخها به بخشهای منسوخ ارجاع میدهند | قطعات را همراه با شناسهٔ نسخه ذخیره کنید و صرفاً «جدیدترین» را در اختیار بگذارید مگر اینکه صریحاً نسخهٔ تاریخی درخواست شود |
| اتکا به یک دور ارزیابی | موارد حاشیهای نادیده میگیرند | پس از عبور اولین حلقه، یک بررسی دوم عبرتساز (مثلاً regex برای واژگان ممنوع) اجرا کنید |
۸. مسیرهای آینده
- بهینهسازی پویا پرامپت – استفاده از یادگیری تقویتی برای تنظیم خودکار متن پرامپت بر پایهٔ تاریخچه موفقیتها.
- انجمنهای چند‑LLM – پرس و جو همزمان با چند مدل و انتخاب پاسخی که بالاترین امتیاز اعتبارسنجی را دارد.
- لایههای AI قابل توضیح – افزودن بخشی «چرا این پاسخ» که شماره دقیق جملات سیاست را میگیرد و حسابرسی کاملاً قابل ردیابی میشود.
این پیشرفتها از حالت «پیشنویس سریع» به «آماده‑حسابرسی بدون لمس انسان» میرسند.
نتیجهگیری
مهندسی پرامپت یک ترفند یکباره نیست؛ بلکه یک رشتهٔ نظاممند است که مدلهای قدرتمند LLM را به دستیارهای قابل اعتماد برای انطباق تبدیل میکند. با:
- استخراج دقیق قطعات سیاست،
- ترکیب پرامپتهای چندبخشی که شامل زمینه، دستورالعمل، قیود و اعتبارسنجی میشود،
- خودکارسازی حلقه بازخوردی که مدل را مجبور به خودتصحیح میکند، و
- ادغام یکپارچه این جریان در پلتفرمی مانند Procurize،
سازمانها میتوانند زمان پاسخگویی به پرسشنامهها را بهطور چشمگیری کاهش دهند، خطاهای دستی را حذف کنند و ردپای دقیق حسابرسیای که توسط ناظران و مشتریان تقاضا میشود، حفظ نمایند.
با یک پرسشنامهٔ کمریسک شروع کنید، KPIهای بهدستآمده را ثبت کنید و قالب پرامپتها را به‑صورت تکراری بهبود دهید. در عرض چند هفته همان سطح دقت یک کارشناس ارشد انطباق را خواهید دید—اما با هزینهٔ بسیار کمتر.
مطالب مرتبط
- بهترین روشهای مهندسی پرامپت برای LLMها
- تولید افزوده‑بازرسی (RAG): الگوهای طراحی و چالشها
- روندهای خودکارسازی انطباق برای سال ۲۰۲۵
- مرور کلی APIهای Procurize و راهنمای یکپارچهسازی