OWASP 的 LLM 十大風險有哪些？

OWASP 在這項計畫之下已發布過多次 AI 的十大清單：

• 0.5 版 (2023 年 5 月)

• 1.1 版本 (2023 年 10 月)

• 2025 年版 (2024 年 11 月)

最新版的 OWASP LLM 應用程式與生成式 AI 十大清單列出了當今最重大的風險、建議的防範措施，以及攻擊情境。以下概略介紹 2025 年的十大風險：

注入提示是指使用者的輸入意外改變了 LLM 的行為或輸出結果。這可能導致它違反安全機制、產生有害內容、提供未經授權的存取，或是影響關鍵決策。雖然像「檢索增強生成」(Retrieval-Augmented Generation，簡稱 RAG) 與微調 (fine-tuning) 這樣的技巧可改善輸出的品質，但卻無法完全消除提示注入的漏洞。

微調是指使用特定領域的資料集來訓練預先訓練好的通用模型以加強其專業知識。

提示注入與越獄是相關的概念：

• 提示注入是利用精心特製的輸入來操弄模型的回應。

• 越獄是一種駭客用來迴避安全機制的提示注入型態。

系統提示中的安全機制 (也就是設定應用程式意圖的指示) 確實有所幫助，但更有效的作法是不斷訓練模型並更新其安全機制。

LLM 的風險之一是洩漏機密資料、專屬演算法或其他敏感資訊。其輸出可能導致未經授權的存取、侵犯隱私權，或侵犯智慧財產權。使用者應避免將機密資料輸入到 LLM 當中，因為這些資料有可能在日後遭到外洩。

防範的策略包括：

• 淨化資料，將敏感內容從訓練資料中排除。

• 提供明確的用戶資料使用條款以及選擇退出機制。

• 在系統提示中加入一些限制 (儘管這些限制有可能被提示注入繞過)。

LLM 供應鏈面臨著訓練資料、模型及部署平台方面的風險。這些都可能導致輸出偏差、資料外洩或故障。有別於傳統軟體，LLM 的風險還涉及了第三方預訓練的模型和資料集。

開放給大眾取用的模型與微調方法 (如 Hugging Face) 會增加曝險，而裝置內的 LLM 也會進一步擴大攻擊面。

資料下毒是透過操弄預訓練、微調或內嵌階段來製造漏洞或偏差，如此可能影響效能、違反道德與安全性。

其風險包括：

• 外部資料來源中的惡意內容。

• 惡意程式 [內部連結] 被內嵌在共用或開放原始碼的模型中。

• 平常處於「睡眠狀態」、經由特定輸入來觸發的後門。

當 LLM 輸出在到達下游系統之前並未經過檢查或淨化時，駭客就能利用以下漏洞攻擊手法：

• 跨網站腳本 (XSS)。 

• 跨網站請求偽造 (CSRF)。

• 伺服器端請求偽造 (SSRF)。

• 權限提升與遠端程式碼執行。

當 LLM 擁有的權限過大，或者第三方擴充功能未做好輸入檢查時，就會增加這樣的風險。

以 LLM 為基礎的系統經常具備「代理」功能，也就是能夠動態呼叫函式或擴充功能。視連接的系統而定，過多的功能、權限或自主性很可能會危及機密性、完整性及可用性。

系統提示是用來引導模型的行為，但卻可能含有一些敏感的資料，例如：登入憑證或連線字串。這些資料一旦外洩就可能讓駭客避開安全機制或提升自己的權限。即使未全部外洩，駭客還是可以從互動中推測出模型的安全機制。

在 RAG 系統中，向量 (vectors) 與嵌入 (embeddings) 在生成、儲存或檢索過程中的漏洞，可能導致惡意內容注入、輸出操弄或未經授權的資料存取。

LLM 可能生成看似可信、但卻虛假或誤導的內容 (幻覺)，進而造成商譽損失或法律風險。其原因包括：

• 未真正理解就以統計方式填補資訊空缺。

• 訓練資料偏差或不完整。

• 使用者過度依賴未經驗證的輸出。

毫無管制的推論請求可能導致阻斷服務 (DoS)、財務損失、模型失竊，或是服務品質下降。雲端環境的運算需求很高，因此尤其容易遭到這類攻擊。