OWASP Top 10 for LLM 公布,了解大模型语言风险
开放全球应用程序安全项目 (OWASP) 是一个致力于提高软件安全性的非营利基金会,以 OWASP Top 10 最为著名 —— 这是一份定期更新的 Web 应用程序中十大最关键安全风险的列表,目前已成为行业标准。 日前,OWASP 与近 500 名相关专家合作,最新发布了 Top 10 for LLM 的 1.0 版本,专门针对大语言模型(LLM)应用相关风险。旨在为开发人员、数据科学家和安全专家提供实用、可操作和简明的安全指南,帮助他们驾驭复杂多变的 LLM 安全领域。 “急于利用 LLM 潜力的企业正在迅速将 LLM 整合到其运营和面向客户的产品中。然而,LLM 被采用的速度之快已经超过了建立全面安全协议的速度,导致许多应用容易出现高风险问题。” 根据该列表,排名前 10 位的漏洞分别是: 提示注入 (Prompt Injection)。狡猾的输入可以操纵大型语言模型,导致意想不到的操作。直接注入会覆盖系统提示,而间接注入则会操纵来自外部的输入。 不安全的输出处理。当 LLM 输出未经审查即被接受,从而暴露后端系统时,就会出现此漏洞。滥用可能导致严重后果,如 XSS、CSRF、S...
