2026-01-23 10:52:22 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档详细介绍了2025年OWASPLLM十大安全风险，涵盖提示注入、敏感信息披露、供应链攻击及新增的系统提示泄露和向量嵌入弱点。针对RAG和自主AI代理的新威胁，建议开发者加强输入验证、输出处理及权限管理，采用外部配置管理凭证，防范数据泄露和资源滥用。 综合评分： 60 文章分类： AI安全,漏洞分析,供应链安全,数据安全,软文广告

cover_image

2025 年 LLMs 的 OWASP 十大安全风险

AI与代码安全

2026年1月22日 01:00 北京

OWASP Top 10 大型语言模型 (LLMs) 安全风险列表全面列出了与 LLM 应用相关的最关键的安全风险。该资源旨在帮助开发人员、安全专家和组织识别、理解和缓解这些系统中的漏洞，从而确保在实际应用中实现更安全、更稳健的部署。

【AI代码助手、大模型课题、代码静态分析工具、动态分析工具、软件成分分析与同源漏洞检测、渗透测试工具、模糊测试、恶意代码检测平台、软件漏洞挖掘平台、软件供应链安全平台。试用及合作请后台私信工程师13381155803（微信同步）】

2025 年版反映了 LLM 威胁形势的重大演变，RAG 系统、自主 AI 代理和复杂的攻击方法带来了新的风险。

2025 年的新变化

2025 年 OWASP 十大 LLMs 安全风险评估报告包含了反映 LLM 实际部署情况的重大更新：

新风险：

系统提示信息泄露(LLM07)：敏感指令和凭证泄露

向量和嵌入弱点（LLM08）：RAG 架构漏洞

重大变化：

由于现实世界中的数据泄露事件 ，敏感信息泄露问题从第 6 位跃升至第 2 位。

供应链漏洞问题上升至第三位，第三方风险也随之增加。

错误信息取代了过度依赖，并扩展到包括幻觉。

无限制消费取代了拒绝服务攻击模型，现在包含了资源管理。

OWASP 2025 年十大风险列表

1.Prompt Injection (LLM01:2025) 快速注射

2.Sensitive Information Disclosure (LLM02:2025) 敏感信息披露

3.Supply Chain (LLM03:2025) 供应链

4.Data and Model Poisoning (LLM04:2025) 数据和模型中毒

5.Improper Output Handling (LLM05:2025) 输出处理不当

6.Excessive Agency (LLM06:2025) 过度代理

7.System Prompt Leakage (LLM07:2025) 系统提示泄漏

8.Vector and Embedding Weaknesses (LLM08:2025) 向量和嵌入的弱点

9.Misinformation (LLM09:2025) 错误信息

10.Unbounded Consumption (LLM10:2025) 无限制消费

1. 即时注射（LLM01:2025）

提示注入仍然是排名第一的严重漏洞，攻击者可以通过操纵 LLM 输入来覆盖原始指令、提取敏感信息或触发意外行为。

快速注射的类型

直接注入： 直接操纵用户提示以改变 LLM 行为。

间接注入： LLM 处理的外部内容（文档、网站、电子邮件）中的隐藏指令。

| | | — | | from deepteam.frameworks import OWASPTop10 from deepteam import red_team from somewhere import your_model_callback owasp = OWASPTop10(categories=[“LLM_01”]) attacks = owasp.attacks vulnerabilities = owasp.vulnerabilities # Modify attributes for your specific testing context if needed red_team( model_callback=your_model_callback, attacks=attacks, vulnerabilities=vulnerabilities ) |

2. 敏感信息披露 (LLM02:2025)

敏感信息泄露是指通过 LLM 输出意外泄露私人数据、凭证、API 密钥或机密信息。

类别

·个人身份信息泄露：个人身份信息暴露

·提示信息泄露：系统提示和配置详情

·知识产权：专有算法和商业秘密

·身份验证数据：API 密钥、密码、令牌

| | | — | | from deepteam.frameworks import OWASPTop10 from deepteam import red_team from somewhere import your_model_callback owasp = OWASPTop10(categories=[“LLM_02”]) attacks = owasp.attacks vulnerabilities = owasp.vulnerabilities # Modify attributes for your specific testing context if needed red_team( model_callback=your_model_callback, attacks=attacks, vulnerabilities=vulnerabilities ) |

注意：敏感信息泄露测试侧重于特定类型的漏洞，以确定您的 LLM 是否会无意中泄露机密数据。

3. 供应链（LLM03:2025）

供应链漏洞源于 LLM 应用程序中使用的第三方组件、模型、数据集或插件遭到破坏。

风险类别

·Model Dependencies 模型依赖性：受损的预训练模型

·Data Sources 数据来源：被污染的训练数据集或 RAG 知识库

·Library Dependencies 库依赖项：存在漏洞的 Python 包或机器学习框架

·Plugin Ecosystem 插件生态系统：恶意或被篡改的 LLM 插件

| | | — | | from deepteam.frameworks import OWASPTop10 from deepteam import red_team from somewhere import your_model_callback owasp = OWASPTop10(categories=[“LLM_03”]) attacks = owasp.attacks vulnerabilities = owasp.vulnerabilities # Modify attributes for your specific testing context if needed red_team( model_callback=your_model_callback, attacks=attacks, vulnerabilities=vulnerabilities ) |

注意;如果您的模型出现意外的偏差、毒性或鲁棒性问题，则可能表明某些组件已遭到破坏。

4. 数据和模型中毒 (LLM04:2025)

数据和模型投毒是指操纵训练数据、微调过程或嵌入数据，以引入漏洞、偏差或后门。

中毒类型

·Training Data Poisoning 训练数据投毒：预训练数据集中的恶意样本

·Fine-tuning Poisoning 微调中毒：受损的特定任务训练数据

·RAG Poisoning RAG 中毒：检索知识库中的恶意文档

·Embedding Poisoning 嵌入中毒：被破坏的向量表示

| | | — | | from deepteam.frameworks import OWASPTop10 from deepteam import red_team from somewhere import your_model_callback owasp = OWASPTop10(categories=[“LLM_04”]) attacks = owasp.attacks vulnerabilities = owasp.vulnerabilities # Modify attributes for your specific testing context if needed red_team( model_callback=your_model_callback, attacks=attacks, vulnerabilities=vulnerabilities ) |

5. 输出处理不当 (LLM05:2025)

当 LLM 输出在传递给下游系统之前没有得到充分的验证、清理或保护时，就会发生输出处理不当的情况。

常见风险

·Code Injection 代码注入：LLM 生成未经清理的可执行代码。

·XSS Attacks XSS 攻击：在 Web 浏览器中执行的 HTML/JavaScript 输出

·SQL Injection SQL 注入：利用 LLM 输出构建数据库查询

·Command Injection 命令注入：LLM 生成的系统命令

| | | — | | from deepteam.frameworks import OWASPTop10 from deepteam import red_team from somewhere import your_model_callback owasp = OWASPTop10(categories=[“LLM_05”]) attacks = owasp.attacks vulnerabilities = owasp.vulnerabilities # Modify attributes for your specific testing context if needed red_team( model_callback=your_model_callback, attacks=attacks, vulnerabilities=vulnerabilities ) |

6. 过度代理（LLM06:2025）

当 LLMs 被赋予过多的自主权、权限或功能时，就会出现过度自主性，导致超出其预期范围的意外行为。

类型

·Functionality 功能：LLM 拥有比实际需要更多的工具。

·Permissions 权限：LLM 以提升的权限运行。

·Autonomy 自主性：LLM 在缺乏适当监督的情况下做出决策

| | | — | | from deepteam.frameworks import OWASPTop10 from deepteam import red_team from somewhere import your_model_callback owasp = OWASPTop10(categories=[“LLM_06”]) attacks = owasp.attacks vulnerabilities = owasp.vulnerabilities # Modify attributes for your specific testing context if needed red_team( model_callback=your_model_callback, attacks=attacks, vulnerabilities=vulnerabilities ) |

7. 系统提示信息泄露 (LLM07:2025)

系统提示泄露是 2025 年新增的一项罪名，主要关注包含敏感指令、凭证或操作逻辑的内部系统提示的泄露。

泄露的内容

·Secrets and Credentials 密钥和凭证：API 密钥、密码、连接字符串

·Instructions 说明：内部操作逻辑和行为规则

·Guards 防护措施：安全机制和内容过滤规则

·Permissions and Roles 权限和角色：访问控制配置

| | | — | | from deepteam.frameworks import OWASPTop10 from deepteam import red_team from somewhere import your_model_callback owasp = OWASPTop10(categories=[“LLM_07”]) attacks = owasp.attacks vulnerabilities = owasp.vulnerabilities # Modify attributes for your specific testing context if needed red_team( model_callback=your_model_callback, attacks=attacks, vulnerabilities=vulnerabilities ) |

注意：切勿在系统提示符中直接包含敏感凭据或密钥。请改用外部配置管理和安全的凭据存储方式。

8. 向量和嵌入的弱点（LLM08:2025）

向量和嵌入弱点是 2025 年新增的条目，旨在解决 RAG 系统和向量数据库中的漏洞。

漏洞类型

·Embedding Poisoning 嵌入中毒：影响检索的恶意向量

·Similarity Attacks 相似性攻击：精心构造的查询，用于检索非预期内容。

·Vector Database Access 向量数据库访问：未经授权访问嵌入存储

·Embedding Inversion 嵌入反转：从向量重建源文本

| | | — | | from deepteam.frameworks import OWASPTop10 from deepteam import red_team from somewhere import your_model_callback owasp = OWASPTop10(categories=[“LLM_08”]) attacks = owasp.attacks vulnerabilities = owasp.vulnerabilities # Modify attributes for your specific testing context if needed red_team( model_callback=your_model_callback, attacks=attacks, vulnerabilities=vulnerabilities ) |

注意：向量和嵌入安全性对 RAG 系统至关重要。务必确保对向量数据库实施适当的访问控制，并定期验证知识库的完整性。

9. 错误信息 (LLM09:2025)

错误信息涉及的是大型语言模型可能生成看似可信但实则虚假或误导性的信息这一风险，其中包括幻觉内容和伪造的引用。

类型

·Factual Errors 事实错误：将不正确的陈述当作事实呈现。

·Unsupported Claims 未经证实的主张：缺乏充分证据的断言。

·Expertise Misrepresentation 专业技能虚假陈述：对资质做出虚假声明

·Fabricated Sources 捏造的资料来源：虚构的引文、研究或参考文献。

| | | — | | from deepteam.frameworks import OWASPTop10 from deepteam import red_team from somewhere import your_model_callback owasp = OWASPTop10(categories=[“LLM_09”]) attacks = owasp.attacks vulnerabilities = owasp.vulnerabilities # Modify attributes for your specific testing context if needed red_team( model_callback=your_model_callback, attacks=attacks, vulnerabilities=vulnerabilities ) |

注意：关于LLM（语言模型）的错误信息可能会在医疗保健、金融和法律咨询等领域造成严重后果。务必实施事实核查和免责声明机制。

10. 无限制消费（LLM10:2025）

无限制消费旨在解决不受控制的资源使用问题，这可能导致服务降级、经济损失或系统不可用。

类型

·Compute Exhaustion 计算资源耗尽：消耗过多处理能力的复杂查询

·Memory Overload 内存过载：导致内存使用量过大的输入

·API Abuse API 滥用：大量请求导致成本飙升

·Context Flooding 上下文溢出：输入内容过长，导致上下文窗口溢出。

| | | — | | from deepteam.frameworks import OWASPTop10 from deepteam import red_team from somewhere import your_model_callback owasp = OWASPTop10(categories=[“LLM_10”]) attacks = owasp.attacks vulnerabilities = owasp.vulnerabilities # Modify attributes for your specific testing context if needed red_team( model_callback=your_model_callback, attacks=attacks, vulnerabilities=vulnerabilities ) |

注意：在生产系统中实施适当的速率限制、输入验证和资源监控。

AI代码助手 #大模型课题 #代码静态分析工具 #动态分析工具 #软件成分分析同源漏洞检测、#渗透测试工具、#模糊测试、#恶意代码检测平台、#软件漏洞挖掘平台、#软件供应链安全平台

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI与代码安全《2025 年 LLMs 的 OWASP 十大安全风险》