Open Worldwide Application Security Project (OWASP) — это некоммерческая организация, которая уже более 20 лет поддерживает обучение и передовые практики в сфере безопасности программного обеспечения.
Содержание
Что такое OWASP?
Главный проект OWASP, OWASP Top 10, представляет собой регулярно обновляемый список самых важных рисков для безопасности веб-приложений.
В мае 2023 года OWASP запустила проект Generative AI Security Project, направленный на управление новыми рисками, связанными с LLM и генеративным ИИ. Внедрение новейших технологий приводит к новым проблемам, связанным с промпт-инъекциями, утечкой данных и рисками управления. Отсутствие систематизированного свода правил безопасности для ИИ побудило OWASP создать этот проект, чтобы классифицировать риски и предлагать стратегии их снижения.
Trend Micro с гордостью поддерживает проект OWASP Generative AI Security Project в качестве спонсора уровня Gold. Благодаря почти двадцатилетнему опыту исследований и разработки продуктов в области ИИ-технологий мы стремимся к «созданию мира, в котором можно безопасно обмениваться цифровой информацией», выявляя и снижая риски безопасности, связанные с ИИ.
«Безопасность LLM зависит не только от технологий, но также от управления, прозрачности и доверия».
Источник: https://www.trendmicro.com/
OWASP Top 10 для LLM-приложений — 2025 г.
В рамках этого проекта OWASP выпустила несколько версий списка Top 10, ориентированных на ИИ:
Редакция 0.5 (май 2023 г.)
Редакция 1.1 (октябрь 2023 г.)
Редакция 2025 (ноябрь 2024 г.)
Последняя редакция, OWASP Top 10 для LLM-приложений и генеративного ИИ, описывает наиболее важные риски, рекомендуемые меры по снижению рисков и примеры сценариев атак. Ниже приведен обзор топ-10 рисков за 2025 год:
Промпт-инъекции
Промпт-инъекция происходит, когда входные данные пользователя меняют поведение или вывод LLM непредусмотренным способом. Это может привести к нарушениям рекомендаций, генерации вредоносного контента, несанкционированному доступу или воздействию на критически важные решения. Такие методы, как генерация с поиском по данным (retrieval-augmented generation, RAG) и дообучение, направлены на улучшение качества вывода, но не полностью устраняют уязвимости для промпт-инъекций.
При дообучении предварительно обученная модель общего назначения проходит обучение на наборе данных для конкретной области для получения специализированных знаний.
Промпт-инъекции и джейлбрейк — это взаимосвязанные понятия:
Промпт-инъекции манипулируют ответами посредством специально созданных входных данных.
Джейлбрейк — это форма промпт-инъекции, при которой злоумышленники обходят протоколы безопасности.
Меры по ограничению системных промптов (инструкции, определяющие намерения приложения) могут помочь, но гораздо эффективнее будет полагаться на непрерывное обучение модели и обновленные механизмы безопасности.
Раскрытие конфиденциальной информации
Из LLM можно украсть конфиденциальные данные, поприетарные алгоритмы или другую чувствительную информацию. Информация в выходных данных может привести к несанкционированному доступу, несоблюдению конфиденциальности или нарушению прав интеллектуальной собственности. Пользователям не следует вводить конфиденциальные данные в LLM, так как они могут быть раскрыты.
Стратегии снижения рисков:
Санитизация данных и исключение чувствительного контента из учебных датасетов.
Предоставление четких условий использования и механизмов отказа от использования пользовательских данных.
Добавление ограничений в системные промпты (хотя их можно обойти путем промпт-инъекций).
Уязвимости в цепочке поставок
В цепочке поставок для LLM возникают риски, влияющие на обучающие данные, модели и платформы развертывания. Это может привести к искажению результатов, нарушениям или сбоям. В отличие от традиционного программного обеспечения, риски LLM распространяются на предварительно обученные модели и датасеты сторонних поставщиков.
Модели с открытым доступом и методы дообучения (например, на Hugging Face) повышают риски. LLM на устройствах расширяют поверхность атаки.
Отравление обучающих данных
Отравление данных происходит на этапах предварительного обучения, дообучения и эмбеддинга с целью внедрить уязвимости или предубеждения. Отравленные данные могут повлиять на производительность, этичность и безопасность.
Потенциальные риски:
Вредоносный контент во внешних источниках данных.
Вредоносные программы, внедренные в модели с общим доступом или открытым исходным кодом.
Бэкдоры, выступающие в качестве «спящих агентов», инициируемых определенными входными данными.
Небезопасная обработка выходных данных
Если выходные данные LLM не проверены или не очищены до передачи в последующие системы, злоумышленники могут использовать такие уязвимости, как:
межсайтовая подделка запросов (CSRF);
подделка запросов на стороне сервера (SSRF);
эскалация привилегий и удаленное выполнение кода.
Этот риск возрастает, когда LLM получают чрезмерные привилегии или сторонние расширения не проверяют входные данные.
Чрезмерная самостоятельность
Системы на основе LLM часто обладают независимостью — возможностью динамического вызова функций или внутренних номеров. Слишком широкие функции, разрешения или автономность могут поставить под угрозу конфиденциальность, целостность и доступность подключенных систем.
Утечка системного промпта
Системные запросы определяют поведение модели, но могут содержать чувствительные данные, такие как учетные данные или строки подключения. Утечка может способствовать атакам, таким как обход ограничений или эскалация привилегий. Даже без полного раскрытия информации злоумышленники могут сделать выводы об ограничениях на основе паттернов взаимодействия.
Небезопасное устройство плагина
В системах на основе RAG уязвимости при генерировании, хранении или извлечении векторов и эмбеддингов могут допускать внедрение вредоносного содержимого, манипуляции с выходными данными или несанкционированный доступ к данным.
Чрезмерное доверие к модели
LLM могут создавать ложный или вводящий в заблуждение контент (галлюцинации), который кажется достоверным, что может привести к ущербу для репутации или юридическим рискам. Причины:
заполнение статистических пробелов без истинного понимания;
предвзятость или неполные обучающие данные;
чрезмерное доверие пользователей к непроверенным выходным данным.
Кража модели
Неконтролируемые запросы могут привести к отказу в обслуживании (DoS), финансовым потерям, краже модели или ухудшению обслуживания. Облачные среды особенно уязвимы из-за высоких требований к вычислениям.
Как организации могут защитить LLM?
Защита больших языковых моделей (LLM) имеет решающее значение, поскольку они становятся неотъемлемой частью корпоративных рабочих процессов. Организации должны проактивно устранять риски, внедряя надежное управление, мониторинг и технические меры безопасности. OWASP Top 10 для LLM выделяет ключевые уязвимости, которые могут привести к утечкам данных, атакам с применением промпт-инъекций и неправильному использованию.
«Миссия OWASP — информировать о безопасности программного обеспечения, чтобы отдельные лица и организации могли принимать обоснованные решения».
Источник: https://owasp.org/
Ключевые меры для организаций:
Внедрение надежных средств контроля доступа:ограничьте доступ к LLM и применяйте аутентификацию и авторизацию для предотвращения несанкционированного использования.
Проверка и санитизация входных данных:предотвращайте промпт-инъекции и вредоносные инструкции, применяя строгую проверку входных данных и фильтрацию.
Мониторинг выходных данных на предмет чувствительных данных:используйте автоматизированные инструменты для обнаружения и удаления конфиденциальной информации и персональных данных в сгенерированных ответах.
Ограничение скорости и выявление ненадлежащего использования: ограничивайте чрезмерные запросы и следите за закономерностями, которые указывают на неправильное использование или автоматизированную эксплуатацию.
Настройка управления моделью и логирования:ведите подробные журналы взаимодействий с целью аудита и комплаенса, а также определяйте четкие политики допустимого использования.
Регулярное обновление и исправление моделей: обновляйте фреймворки и зависимости LLM для устранения возникающих уязвимостей.
Обучение персонала методам безопасного использования: проинструктируйте сотрудников о таких рисках, как утечка данных и промпт-инъекция, чтобы уменьшить человеческий фактор.
Укрепление защиты LLM с помощью Trend Micro
OWASP Top 10 для LLM предупреждает о таких рисках, как промпт-инъекция, утечка данных и небезопасные плагины. Trend Vision One™ помогает организациям решать эти проблемы с разных сторон:
Безопасность ИИ-приложений — блокировка вредоносных промптов и эксплойтов плагинов.
Доступ по принципу нулевого доверия — строгая идентификация и контроль разрешений.
Управление состоянием безопасности ИИ — сканирование на предмет ошибок конфигурации и уязвимостей.
Анализ угроз — обнаружение новых атак, связанных с ИИ.
Централизованное управление — мониторинг использования и соблюдение политик.
Благодаря Trend Vision One™ предприятия могут уверенно развертывать LLM с гарантией безопасности и комплаенса.
Фернандо Кардосо занимает должность вице-президента по управлению продуктами в Trend Micro. Особое внимание он уделяет постоянно меняющимся технологиям ИИ и облаков. Он начал карьеру как инженер по сетям и инженер по продажам в сфере центров обработки данных, облака, DevOps и кибербезопасности. Эти темы по-прежнему увлекают его.
Часто задаваемые вопросы
Что такое OWASP в сфере кибербезопасности?
OWASP — это проект с открытым исходным кодом, предоставляющий ресурсы, инструменты и рекомендации для повышения безопасности веб-приложений во всем мире.
Что такое OWASP Top 10?
OWASP Top 10 — это регулярно обновляемый список самых важных рисков для безопасности веб-приложений.
Как часто обновляются OWASP Top 10?
OWASP Top 10 обычно обновляется каждые три года, отражая новые угрозы и развивающиеся практики безопасности веб-приложений.
Как использовать OWASP?
Используйте OWASP, реализуя предоставляемые организацией рекомендации, инструменты и передовые практики для выявления, предотвращения и снижения уязвимостей в веб-приложениях.