短答案
OWASP LLM Top 10 到底是什么
它是一个面向生成式 AI 应用的社区安全框架,为团队提供一份“最值得优先关注的风险列表”。截至 2026 年 3 月 11 日,当前正式版本仍是 2025 OWASP GenAI Top 10。
它的价值不在于提供“法律条文”或“认证”,而在于告诉团队:AI 系统的风险不仅在模型,也在检索层、工具层、连接系统与授予模型的执行权限里。
2025 风险清单的通俗解释
| OWASP 项 | 通俗含义 | 为什么重要 |
|---|---|---|
| LLM01 提示词注入 | 不受信文本被当成指令 | 会劫持工作流、泄露数据或误导工具调用 |
| LLM02 敏感信息泄露 | 系统暴露私有、受监管或机密数据 | 把“AI 便利”迅速变成数据泄露事件 |
| LLM03 供应链 | 风险来自第三方模型、库、数据集、工具或服务商 | 很多 AI 系统依赖的关键组件并非团队自建 |
| LLM04 数据与模型投毒 | 训练或检索输入被污染,从而改变行为 | 可能带来持久性错误或后门式效果 |
| LLM05 不当输出处理 | 系统过早信任模型输出 | 错误输出可能变成代码执行、XSS、SSRF 或危险自动化 |
| LLM06 过度授权 | 模型拥有过大的权限、工具面或执行能力 | 哪怕很小的模型错误,也会因权限过大而代价高昂 |
大多数团队应优先看的四类风险
对很多生产团队而言,最值得优先处理的通常是 LLM01、LLM02、LLM05 与 LLM06:提示词注入、敏感信息泄露、不当输出处理与过度授权。这四类最贴近日常工作流、连接工具与私有数据风险。
提示词注入告诉你“外部内容会不会变成指令”;敏感信息泄露提醒你“模型有没有说出不该说的话”;不当输出处理关注“系统有没有把模型输出过早当真”;过度授权则是在问“模型一旦被误导,到底能做多大破坏”。
如何正确使用这张风险地图
最糟糕的用法,是把它变成一张“我们都想过了”的勾选表。真正有价值的用法,是拿它驱动设计评审、权限设计、红队测试与安全验证。
OWASP 负责给你类别,NIST 更适合提供项目级风险治理语言,而红队 / 对抗评估负责证明控制是否真的有效。三者应该相互配合,而不是互相替代。
- 把每个功能映射到它实际触及的 OWASP 项目
- 优先处理会在你工作流里造成真实损害的风险,而不是最容易拿来写 PPT 的那一项
- 追问模型在哪里读取不受信文本、在哪里可能泄露私有数据、在哪里输出会被直接信任、在哪里还能执行动作
- 用高风险对抗样本测试真实流程,而不是把书面策略当成安全证明
常见问题
什么是 OWASP Top 10 for LLM Applications?
它是 OWASP 面向 LLM 与生成式 AI 应用的社区风险清单与缓解框架。当前正式版本是 2025 GenAI Top 10。
它只讨论提示词注入吗?
不是。提示词注入只是其中一项,清单还覆盖敏感信息泄露、供应链、投毒、不当输出处理、过度授权等问题。
OWASP 能替代威胁建模或测试吗?
不能。OWASP 是优先级框架,不是完整安全方案。团队仍然需要威胁建模、权限设计、红队测试与运营复核。