O Open Worldwide Application Security Project (OWASP) é uma organização sem fins lucrativos com mais de 20 anos de experiência na promoção de educação em segurança de software e boas práticas.
Índice
O que é OWASP?
A iniciativa principal da OWASP, o OWASP Top 10, é uma lista atualizada regularmente dos riscos mais críticos de segurança de aplicações web.
Em maio de 2023, a OWASP lançou o Generative AI Security Project para lidar com riscos emergentes associados a large language models (LLMs) e IA generativa. À medida que as organizações adotam rapidamente essas tecnologias, aumentaram as preocupações com injeção de prompt, vazamento de dados e riscos de governança. A ausência de um framework de segurança sistemático para IA levou a OWASP a criar este projeto, que classifica riscos e propõe estratégias de mitigação.
A Trend Micro apoia com orgulho o OWASP Generative AI Security Project como Patrocinadora Gold. Com quase duas décadas de pesquisa e desenvolvimento em tecnologias de IA, permanecemos comprometidos com nossa missão de criar um mundo onde a informação digital possa ser trocada com segurança, identificando e mitigando riscos de segurança relacionados à IA.
"Proteger LLMs não é apenas sobre tecnologia é sobre governança, transparência e confiança"
Fonte: https://www.trendmicro.com/
OWASP Top 10 para Aplicações LLM - 2025
Neste projeto, a OWASP lançou várias versões de sua lista Top 10 focada em IA:
Versão 0.5 (maio de 2023)
Versão 1.1 (outubro de 2023)
Versão 2025 (novembro de 2024)
A versão mais recente, OWASP Top 10 para Aplicações LLM & IA Generativa, descreve os riscos mais críticos, mitigações recomendadas e exemplos de cenários de ataque. Abaixo está uma visão geral dos Top 10 Riscos para 2025:
Injeção de Prompt
Injeção de prompt ocorre quando inputs do usuário alteram involuntariamente o comportamento ou o output de um LLM. Isso pode levar a violações de diretrizes, geração de conteúdo prejudicial, acesso não autorizado ou influência sobre decisões críticas. Técnicas como retrieval-augmented generation (RAG) e fine-tuning visam melhorar a qualidade do output, mas não eliminam totalmente vulnerabilidades de injeção de prompt.
Fine-tuning refere-se ao treinamento de um modelo pré-treinado de uso geral em um conjunto de dados específico de domínio para adicionar conhecimento especializado.
Injeção de prompt e jailbreaking são conceitos relacionados:
A injeção de prompt manipula respostas por meio de inputs elaborados.
Jailbreaking é uma forma de injeção de prompt em que atacantes burlam protocolos de segurança.
Salvaguardas em system prompts (instruções que definem a intenção da aplicação) podem ajudar, mas treinamento contínuo do modelo e mecanismos de segurança atualizados são mais eficazes.
Divulgação de Informações Sensíveis
LLMs correm o risco de vazar dados confidenciais, algoritmos proprietários ou outras informações sensíveis. Outputs podem levar a acesso não autorizado, violações de privacidade ou infração de propriedade intelectual. Os usuários devem evitar inserir dados confidenciais em LLMs, pois eles podem ser expostos posteriormente.
Estratégias de mitigação incluem:
Sanitização de dados e exclusão de conteúdo sensível dos conjuntos de treinamento
Fornecimento de termos de uso claros e mecanismos de opt-out para dados do usuário.
Adição de restrições em system prompts (embora possam ser burladas por injeção de prompt).
Vulnerabilidades da Cadeia de Suprimentos
A cadeia de suprimentos de LLM enfrenta riscos que afetam dados de treinamento, modelos e plataformas de implantação. Isso pode resultar em outputs enviesados, violações ou falhas. Diferentemente do software tradicional, os riscos de LLM se estendem a modelos e conjuntos de dados pré-treinados de terceiros.
Modelos de acesso aberto e métodos de fine-tuning (por exemplo, no Hugging Face) aumentam a exposição. LLMs on-device ampliam ainda mais a Superfície de Ataque.
Envenenamento de dados de treinamento
O envenenamento de dados manipula as etapas de pré-treinamento, fine-tuning ou embeddings para introduzir vulnerabilidades ou vieses. Isso pode degradar desempenho, ética e segurança.
Os riscos incluem:
Conteúdo malicioso em fontes de dados externas.
Malware [link interno] incorporado em modelos compartilhados ou de código aberto.
Backdoors atuando como “agentes adormecidos”, acionados por inputs específicos.
Manipulação de saída insegura
Quando os outputs de LLM não são validados ou sanitizados antes de alcançar sistemas downstream, atacantes podem explorar vulnerabilidades como:
Cross-Site Request Forgery (CSRF)
Server-Side Request Forgery (SSRF)
Escalonamento de privilégios e execução remota de código
Esse risco surge quando LLMs possuem privilégios excessivos ou quando extensões de terceiros não possuem validação de input.
Agência Excessiva
Sistemas baseados em LLM frequentemente possuem agência a capacidade de invocar funções ou extensões dinamicamente. Funcionalidade excessiva, permissões ou autonomia podem comprometer confidencialidade, integridade e disponibilidade, dependendo dos sistemas conectados.
Vazamento de System Prompt
System prompts orientam o comportamento do modelo, mas podem conter dados sensíveis como credenciais ou strings de conexão. Vazamento pode permitir ataques como contornar guardrails ou escalonamento de privilégios. Mesmo sem divulgação completa, atacantes podem inferir guardrails por meio de padrões de interação.
Design Inseguro de Plugin
Em sistemas baseados em RAG, vulnerabilidades na geração, armazenamento ou recuperação de vetores e embeddings podem permitir injeção de conteúdo malicioso, manipulação de output ou acesso não autorizado a dados.
Dependência Excessiva
LLMs podem gerar conteúdo falso ou enganoso alucinações que parecem confiáveis, causando danos reputacionais ou riscos legais. As causas incluem:
Preenchimento estatístico de lacunas sem compreensão real
Dados de treinamento enviesados ou incompletos
Dependência excessiva de outputs não verificados pelos usuários
Roubo de modelo
Requisições de inferência não controladas podem levar à negação de serviço (DoS), perda financeira, roubo de modelo ou degradação do serviço. Ambientes em nuvem são especialmente vulneráveis devido às altas demandas computacionais.
Como as organizações podem proteger LLMs?
Proteger Large Language Models (LLMs) é fundamental à medida que se tornam parte integrante dos workflows corporativos. As organizações devem tratar os riscos de forma proativa implementando governança robusta, monitoramento e salvaguardas técnicas. O OWASP Top 10 para LLMs destaca vulnerabilidades-chave que podem levar a vazamentos de dados, ataques de injeção de prompt e uso indevido se não forem devidamente mitigadas.
"A missão da OWASP é tornar a segurança de software visível para que indivíduos e organizações possam tomar decisões informadas."
Fonte: https://owasp.org/
Principais etapas que as organizações podem adotar:
Implementar Controles de Acesso Fortes: Restrinja quem pode interagir com LLMs e aplique autenticação e autorização para evitar uso não autorizado.
Validar e Sanitizar Inputs: Previna injeção de prompt e instruções maliciosas aplicando validação rigorosa de inputs e filtragem.
Monitorar Outputs para Dados Sensíveis: Use ferramentas automatizadas para detectar e mascarar informações confidenciais ou pessoalmente identificáveis em respostas geradas.
Aplicar Limitação de Taxa e Detecção de Abuso: Limite solicitações excessivas e monitore padrões que indiquem uso indevido ou exploração automatizada.
Estabelecer Governança e Logging de Modelos: Mantenha logs detalhados de interações para auditoria e Compliance e defina políticas claras para uso aceitável.
Atualizar e Aplicar Patches em Modelos Regularmente: Mantenha frameworks e dependências de LLM atualizados para lidar com vulnerabilidades emergentes.
Treinar Equipes em Práticas de Uso Seguro: Eduque colaboradores sobre riscos como vazamento de dados e injeção de prompt para reduzir erro humano.
Fortalecendo a Segurança de LLM com a Trend Micro
O OWASP Top 10 para LLMs alerta sobre riscos como injeção de prompt, vazamento de dados e plugins inseguros. O Trend Vision One™ ajuda as organizações a enfrentar esses desafios com:
Segurança de Aplicações de IA – Bloqueia prompts maliciosos e exploits de plugins.
Zero Trust Access – Aplica identidade e permissões rigorosas.
AI Security Posture Management – Realiza varredura de configurações incorretas e vulnerabilidades.
Threat Intelligence– Detecta ataques emergentes específicos de IA.
Governança Centralizada – Monitora o uso e aplica políticas.
Com o Trend Vision One™, as empresas podem implantar LLMs com confiança, mantendo-se seguras e em Compliance.
Fernando Cardoso é o Vice-Presidente de Gerenciamento de Produto na Trend Micro, com foco no mundo em constante evolução de IA e cloud. Sua carreira começou como Network and Sales Engineer, onde aprimorou suas habilidades em datacenters, cloud, DevOps e Cibersegurança — áreas que continuam sendo sua paixão.
Perguntas Frequentes (FAQs)
O que é OWASP em cibersegurança?
O OWASP é um projeto de código aberto que fornece recursos, ferramentas e diretrizes para melhorar a segurança de aplicações web globalmente.
O que é OWASP Top 10?
O OWASP Top 10 é uma lista dos riscos mais críticos de segurança de aplicações web, atualizada regularmente para desenvolvedores.
Com que frequência o OWASP Top 10 é atualizado?
O OWASP Top 10 é normalmente atualizado a cada três anos, refletindo ameaças emergentes e a evolução das práticas de segurança de aplicações web.
Como usar o OWASP?
Use o OWASP implementando suas diretrizes, ferramentas e boas práticas para identificar, prevenir e mitigar vulnerabilidades em aplicações web.