正文

大模型10大网络安全威胁及防范策略

admin
admin V管理员 /0 评论 /48 阅读
0423
此篇文章发布距今已超过20天,您需要注意文章的内容或图片是否可用!

OWASP发布的《大语言模型人工智能应用Top10安全威胁2025》,大语言模型人工智能应用中存在的十大安全风险,相比2023版有一些变化,10大安全威胁如下:
1、提示词注入用户通过特殊输入改变模型行为或输出,可能导致敏感信息泄露、内容被操纵等问题,分直接和间接注入两种类型。 
2、敏感信息泄露:LLM在应用中可能暴露敏感数据,如个人信息、商业机密等,可通过数据清理、访问控制等手段防范。 
3、供应链风险:LLM供应链易受攻击,涉及第三方组件漏洞、许可风险等,需审核数据源、进行漏洞扫描来保障安全。 
4、数据与模型投毒:在数据处理阶段操控数据,损害模型安全性和性能,可利用工具验证数据、审查供应商进行防范。
5、不当输出处理:LLM输出未经验证就传递,可能引发多种安全漏洞,要对输出进行验证和编码处理。
6、过度授权:LLM异常行为等导致系统执行破坏性操作,源于功能、权限、自主性方面的问题,需限制扩展和权限防范。
7、系统提示泄露:系统提示中的敏感信息被发现会带来风险,应分离敏感数据,避免依赖系统提示控制行为。
8、向量与嵌入漏洞:RAG技术中向量与嵌入机制存在风险,如未授权访问、数据投毒等,要实施访问控制和数据验证。 
9、信息误导:LLM生成错误或误导性信息,会引发安全、声誉和法律问题,可通过检索增强、人工监督等策略缓解。
10、无限资源消耗:攻击者利用漏洞让LLM过度消耗资源,造成多种危害,可通过输入验证、速率限制等方式防范。

OWASP 大语言模型人工智能应用Top 10安全威胁(2025)

LLM01:2025 提示词注入(2025 Prompt Injection

LLM02:2025 敏感信息披露(2025 Sensitive Information Disclosure

LLM03:2025 供应链(2025 Supply Chain

LLM04: 2025 数据和模型投毒(2025 Data and Model Poisoning

LLM05:2025 不当输出处理 (2025 Improper Output Handling

LLM06:2025 过度授权(2025 Excessive Agency

LLM07:2025 系统提示泄露(2025 System Prompt Leakage

LLM08:2025 向量和嵌入漏洞(2025 Vector and Embedding Weaknesses

LLM09:2025 信息误导(2025 Misinformation

LLM10:2025 无限资源消耗 (2025 Unbounded Consumption

OWASP Top 10 LLM-2025安全威胁与防范策略

威胁类型
示例场景
防范策略
提示词注入

  • 直接提示词注入

  • 间接提示词注入

  • 非故意注入

  • 有意模型影响

  • 代码注入

  • 负载分割

  • 多模态注入

  • 对抗性后缀

  • 多语言/混淆攻击

  • 约束模型行为
  • 定义格式
  • 输入输出过滤
  • 最小权限访问
  • 人工审批高危动作
  • 隔离外部内容
  • 红蓝对抗
敏感信息泄露

  • 个人信息泄露

  • 专有算法暴露

  • 商业机密数据泄漏

  • 数据清洗
  • 访问控制
供应链

  • 传统第三方组件漏洞

  • 许可风险

  • 过时或已弃用模型

  • 脆弱的预训练模型

  • 弱模型溯源

  • 弱LoRA适配器

  • 利用协作开发流程

  • 设备端LLM供应链风险

  • 模糊的条款与数据隐私政策

  • 组件漏洞扫描
  • 许可证审计
  • 使用可验证来源模型
  • 对供应模型和数据进行安全测评
  • 加密端侧模型
数据与模型投毒

  • 训练引入有害数据

  • 训练恶意内容

  • 无意注入敏感或专有信息

  • 未验证的数据

  • 资源访问限制不足

  • 验证数据合法性
  • 数据集版本控制
  • 监测训练损失
  • 红蓝对抗
  • RAG增强
不当输出处理

  • 程代码执行

  • XSS攻击

  • SQL注入

  • 径遍历漏洞

  • 鱼攻击

  • 模型响应验证
  • 模型输出编码
  • 内容安全策略
  • 日志和监控
过度授权

  • 功能过多

  • 权限过高

  • 自主性过强

  • 最小化扩展
  • 要求用户审批
  • 完全中介
  • 清理输入输出
系统提示泄露

  • 敏感功能暴露

  • 内部规则暴露

  • 过滤条件暴露

  • 权限与角色结构暴露

  • 敏感数据分离
  • 严格行为控制
  • 外挂防护措施
  • 关键安全控制
向量与嵌入漏洞

  • 未授权访问与数据泄漏

  • 跨上下文信息泄露与联邦知识冲突

  • 嵌入反演攻击

  • 数据投毒攻击

  • 行为改变

  • 权限与访问控制
  • 数据来源质量验证
  • 数据分类审查
  • 监控日志记录
信息误导

  • 事实性误导

  • 无依据的主张

  • 专业能力的错误呈

  • 不安全的代码生成

  • 增强检索生成
  • 模型微调
  • 交叉验证
  • AI标识提醒
  • 培训用户
无限资源消耗

  • 可变长度输入泛滥

  • 钱包拒绝服

  • 持续输入溢

  • 资源密集型查询

  • API模型提取

  • 功能模型复

  • 侧信道攻击

  • 输入验证
  • 速率限制
  • 访问控制
  • AI水印
  • 超时与节流

通过Top 10安全威胁在应用数据流过程中的位置进行安全措施建设

通过这个图可以直观的看到Top 10的安全威胁在应用数据流过程中的影响位置,同时基于数据流中存在的安全威胁,就可以进行针对性的点对点防护措施建设,对应防护策略有一些是可以用商用产品解决,还有部分是可以针对借用开源工具进行安全防护建设的,比如:NVIDIA NeMo Guardrails框架工具(刚好项目中用过)。

以下简单看一下可以实现的能力:

输入防护措施(Input rails):应用于用户输入的内容;输入防护措施可以拒绝输入(停止任何进一步的处理)或改变输入(例如,掩盖可能敏感的数据,或者重新措辞)。

对话防护措施(Dialog rails):影响对话的发展以及如何提示大型语言模型(LLM);对话防护措施作用于规范化形式的消息,并决定是否应该执行某个动作,是否应该调用LLM来生成下一步或响应,或者是否应该使用预定义的响应。

检索防护措施(Retrieval rails):在检索增强生成(RAG)场景中应用于检索到的内容块;检索防护措施可以拒绝某个内容块,防止其被用来提示LLM,或者改变相关的内容块(例如,掩盖可能敏感的数据)。

执行防护措施(Execution rails):应用于需要调用的自定义动作(即工具)的输入/输出。

输出防护措施(Output rails):应用于LLM生成的输出;输出防护措施可以拒绝输出,防止其被返回给用户或改变它(例如,删除敏感数据)。

对此除了建设之外,还有一些开源的安全评估工具,比如Garak,Garak,全称 Generative AI Red-teaming & Assessment Kit,是一种由 NVIDIA 开发的开源工具,专注于扫描 LLM 的漏洞。

此项详细内容可以查看官网链接:
https://docs.nvidia.com/nemo/guardrails/

OWASP LLM Top 10对比(2023版和2025版)

OWASP Top 10 for LLM Applications 2025
OWASP Top 10 for LLM Applications 2023
LLM01:2025 提示词注入(2025 Prompt Injection)
LLM01:提示词注入(Prompt Injection)
LLM02:2025 敏感信息披露(2025 Sensitive Information Disclosure)
LLM02:不安全输出(Insecure Output Handling)
LLM03:2025 供应链(2025 Supply Chain)
LLM03:训练数据投毒(Training Data Poisoning)
LLM04: 2025 数据和模型投毒(2025 Data and Model Poisoning)
LLM04:模型拒绝服务(Model Denial of Service)
LLM05:2025 不当输出处理 (2025 Improper Output Handling)
LLM05:供应链漏洞(Supply Chain Vulnerabilities)
LLM06:2025 过度授权(2025 Excessive Agency)
LLM06:敏感信息泄露(Sensitive Information Disclosure)
LLM07:2025 系统提示泄露(2025 System Prompt Leakage)
LLM07:不安全的插件设计(Insecure Plugin Design)
LLM08:2025 向量和嵌入漏洞(2025 Vector and Embedding Weaknesses)
LLM08:过度代理(Excessive Agency)
LLM09:2025 信息误导(2025 Misinformation)
LLM09:过度依赖(Overreliance)
LLM10:2025 无限资源消耗 (2025 Unbounded Consumption)
LLM010:模型窃取(Model Theft)

对比发布的2025版和2023版的 LLM Top 10安全威胁,对于Top 10威胁程度的变化和新增安全威胁,比如:LLM01:提示词注入风险依然是Top 1的最大威胁,敏感信息泄露由2023版的top 6升到2025版的Top2等。同时也新增几项安全风险,比如系统提示泄露、向量和嵌入漏洞及无限资源消耗等安全威胁,随着人工智能的发展,安全威胁也在不断的变化,我们需要不断了解新的技术方向,最大程度的降低安全威胁的影响

报告节选

报告相关内容请到帮会中下载,感谢支持!!

END

FreeBuf 帮会简介

「一起聊安全」帮会致力于网络安全材料汇总与分享,围绕网络安全标准安全政策法规安全报告及白皮书安全会议、安全方案、新技术方向,与FREEBUF知识大陆共建【一起聊安全】帮会,目前相关内容已有6600+,安全标准涵盖国标、行标、团标等,包括等保、关基、商密、数据安全、云计算、物联网、工业互联网、移动安全、风险评估、安全攻防等30+方向内容,覆盖最新安全政策法规安全报告及白皮书等,为网安人提供最新最全资料。

优惠券领取

FreeBuf知识大陆APP

苹果用户至App Store下载

安卓用户各大应用商城均可下载

如有问题请联系vivi微信:Erfubreef121


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om