Open Worldwide Application Security Project (OWASP) to organizacja non-profit z ponad 20-letnim doświadczeniem w promowaniu edukacji w zakresie bezpieczeństwa oprogramowania i najlepszych praktyk.
Spis treści
Czym jest OWASP?
Flagowa inicjatywa OWASP, OWASP Top 10, to regularnie aktualizowana lista najważniejszych zagrożeń bezpieczeństwa dla aplikacji webowych.
W maju 2023 OWASP uruchomiło projekt Generative AI Security Project, aby zająć się nowymi zagrożeniami związanymi z dużymi modelami językowymi (LLM) i generatywną AI. Wraz z szybkim wdrażaniem tych technologii w organizacjach rosną obawy dotyczące iniekcji promptów, wycieków danych i ryzyk związanych z zarządzaniem. Brak systematycznych ram bezpieczeństwa dla AI skłonił OWASP do stworzenia projektu, który klasyfikuje zagrożenia i proponuje strategie ich ograniczania.
Trend Micro z dumą wspiera projekt OWASP Generative AI Security jako sponsor Gold. Dzięki prawie dwudziestoletniemu doświadczeniu w badaniach i rozwoju technologii AI pozostajemy wierni naszej misji: „tworzyć świat, w którym informacje cyfrowe mogą być wymieniane bezpiecznie”, identyfikując i minimalizując ryzyka związane z AI.
„Bezpieczeństwo to nie funkcja – to fundament. OWASP przypomina nam, że ochrona aplikacji jest kluczowa dla zaufania w erze cyfrowej.”
Źródło: https://www.trendmicro.com/
OWASP Top 10 dla aplikacji LLM – 2025
W ramach projektu OWASP opublikowało kilka wersji listy skoncentrowanej na AI:
Wersja 0.5 (maj 2023)
Wersja 1.1 (październik 2023)
Wersja 2025 (listopad 2024)
Najnowsza wersja, OWASP Top 10 dla aplikacji LLM i generatywnej AI, przedstawia najważniejsze zagrożenia, zalecane środki zaradcze i przykładowe scenariusze ataków. Oto przegląd 10 głównych zagrożeń na rok 2025:
Iniekcja promptów
Iniekcja promptów występuje, gdy dane wejściowe użytkownika nieumyślnie zmieniają zachowanie lub wynik LLM. Może to prowadzić do naruszenia zasad, generowania szkodliwych treści, nieautoryzowanego dostępu lub wpływu na kluczowe decyzje. Techniki takie jak Retrieval-Augmented Generation (RAG) i fine-tuning poprawiają jakość wyników, ale nie eliminują całkowicie tej podatności.
Fine-tuning oznacza dalsze trenowanie wstępnie wytrenowanego modelu na danych specyficznych dla danej dziedziny.
Iniekcja promptów i jailbreaking to powiązane pojęcia:
Iniekcja promptów: manipulacja odpowiedziami poprzez spreparowane dane wejściowe.
Jailbreaking: forma iniekcji promptów, która omija mechanizmy bezpieczeństwa.
Zabezpieczenia w promptach systemowych mogą pomóc, ale skuteczniejsze jest ciągłe trenowanie i aktualizacja mechanizmów bezpieczeństwa.
Ujawnienie informacji wrażliwych
LLM mogą ujawniać poufne dane, algorytmy lub inne wrażliwe informacje. Wyniki mogą prowadzić do nieautoryzowanego dostępu, naruszenia prywatności lub praw własności intelektualnej. Użytkownicy powinni unikać wprowadzania poufnych danych, ponieważ mogą zostać ujawnione później.
Środki zaradcze:
Sanityzacja danych i wykluczenie informacji wrażliwych z zestawów treningowych.
Jasne warunki użytkowania i mechanizmy rezygnacji z wykorzystania danych.
Dodanie ograniczeń w promptach systemowych (choć mogą być obchodzone).
Luki w łańcuchu dostaw
Łańcuch dostaw LLM jest narażony na ryzyka dotyczące danych treningowych, modeli i platform wdrożeniowych. Mogą one powodować stronniczość wyników, naruszenia bezpieczeństwa lub awarie systemu. W przeciwieństwie do tradycyjnego oprogramowania, ryzyka LLM obejmują także modele i dane stron trzecich.
Modele open-access i metody fine-tuningu (np. na Hugging Face) zwiększają ekspozycję. LLM działające na urządzeniach dodatkowo powiększają powierzchnię ataku.
Zatrucie danych treningowych
Zatrucie danych polega na manipulacji etapami pre-treningu, fine-tuningu lub embeddingu w celu wprowadzenia podatności lub stronniczości. Może to obniżyć wydajność, etykę i bezpieczeństwo.
Ryzyka:
Złośliwe treści w zewnętrznych źródłach danych
Malware w modelach open source
Backdoory działające jako „uśpieni agenci” aktywowane przez określone wyzwalacze
Nieprawidłowa obsługa wyników
Gdy wyniki LLM nie są walidowane ani oczyszczane przed przekazaniem do systemów downstream, mogą wystąpić ataki takie jak:
Cross-Site Request Forgery (CSRF)
Server-Side Request Forgery (SSRF)
Eskalacja uprawnień i zdalne wykonanie kodu
Ryzyko rośnie przy nadmiernych uprawnieniach lub niebezpiecznych rozszerzeniach.
Nadmierna autonomia
Systemy oparte na LLM często mają „agency”, czyli zdolność do dynamicznego wywoływania funkcji lub rozszerzeń. Nadmierna funkcjonalność, uprawnienia lub autonomia mogą zagrozić poufności, integralności i dostępności.
Wycieki promptów systemowych
Prompty systemowe sterują zachowaniem modelu, ale mogą zawierać wrażliwe dane, np. dane uwierzytelniające. Ich wyciek umożliwia ataki, takie jak obejście zabezpieczeń lub eskalacja uprawnień. Nawet bez pełnego ujawnienia atakujący mogą wywnioskować ograniczenia na podstawie interakcji.
Niebezpieczny projekt wtyczek
W systemach RAG podatności w generowaniu, przechowywaniu lub pobieraniu wektorów i embeddingów mogą umożliwić wstrzyknięcie złośliwych treści, manipulację wynikami lub nieautoryzowany dostęp.
Nadmierne zaufanie
LLM mogą generować fałszywe lub wprowadzające w błąd treści (halucynacje), które wyglądają wiarygodnie, powodując szkody reputacyjne lub ryzyko prawne. Przyczyny:
Statystyczne uzupełnianie luk bez rzeczywistego zrozumienia
Stronniczość lub niekompletne dane treningowe
Nadmierne poleganie na niezweryfikowanych wynikach
Kradzież modelu
Nieograniczone zapytania mogą prowadzić do ataków DoS, strat finansowych, kradzieży modelu lub degradacji usług. Środowiska chmurowe są szczególnie podatne ze względu na wysokie wymagania obliczeniowe.
Jak organizacje mogą zabezpieczyć LLM?
Zabezpieczenie LLM jest kluczowe, ponieważ stają się one integralną częścią procesów biznesowych. Organizacje powinny proaktywnie wdrażać mechanizmy zarządzania, monitorowania i techniczne środki ochrony.
„Zabezpieczenie dużych modeli językowych nie jest opcjonalne – to kluczowy krok, aby innowacja nie odbywała się kosztem integralności i prywatności.”
Żródło: https://owasp.org/
Kluczowe kroki:
Wdrożenie silnych kontroli dostępu
Walidacja i oczyszczanie danych wejściowych
Monitorowanie wyników pod kątem danych wrażliwych
Ograniczanie liczby zapytań i wykrywanie nadużyć
Ustanowienie zasad zarządzania i rejestrowania
Regularne aktualizacje i łatki modeli
Szkolenie pracowników w zakresie bezpiecznego korzystania
Wzmocnienie bezpieczeństwa LLM z Trend Micro
OWASP Top 10 dla LLM ostrzega przed ryzykami takimi jak iniekcja promptów, wycieki danych i niebezpieczne wtyczki. Trend Vision One™ oferuje:
AI Application Security – Blokuje złośliwe prompty i exploity wtyczek
Zero Trust Access – Wymusza rygorystyczne kontrole tożsamości i uprawnień
AI Security Posture Management – Wykrywa błędne konfiguracje i podatności
Threat Intelligence – Identyfikuje nowe ataki związane z AI
Centralne zarządzanie – Monitoruje użycie i egzekwuje polityki
Dzięki Trend Vision One™ firmy mogą bezpiecznie i zgodnie z regulacjami wdrażać LLM.
Często zadawane pytania (FAQ)
Czym jest OWASP w cyberbezpieczeństwie?
OWASP to projekt open-source oferujący zasoby, narzędzia i wytyczne poprawiające bezpieczeństwo aplikacji webowych na całym świecie.
Czym jest OWASP Top 10?
OWASP Top 10 to lista najważniejszych zagrożeń bezpieczeństwa aplikacji webowych, regularnie aktualizowana dla programistów.
Jak często aktualizowany jest OWASP Top 10?
OWASP Top 10 jest zazwyczaj aktualizowany co trzy lata, uwzględniając nowe zagrożenia i praktyki bezpieczeństwa.
Jak korzystać z OWASP?
Korzystaj z OWASP, wdrażając jego wytyczne, narzędzia i najlepsze praktyki, aby zapobiegać lukom w aplikacjach webowych.