AI安全标准-OWASP 2025 版 LLM 应用安全 Top10 解读|AI 安全风险迎来系统性升级

近年来，大语言模型（LLM）技术飞速迭代，已深度融入企业生产、客户服务、办公协作等全场景，成为数字化转型的核心驱动力。但与此同时，LLM 应用的安全风险也持续暴露，从提示注入、数据泄露到模型投毒、资源滥用，各类安全事件频发，给企业数据安全、业务合规甚至品牌声誉带来严峻挑战。

2024 年 11 月 18 日，全球权威网络安全组织 OWASP 正式发布《2025 版 LLM 应用安全 Top10》。这份报告由全球跨行业安全专家、算法工程师、企业技术负责人联合编制，在 2023 版基础上，结合近两年 LLM 真实攻击场景与行业实践，新增 2 项核心风险、升级 1 项关键漏洞，构建了更贴合当前 AI 应用生态的安全风险框架，为企业 LLM 安全建设提供权威指引。

一、2025 版核心更新：聚焦新场景，直面新风险

相较于 2023 版，2025 版报告的调整均源于真实安全事件与行业痛点，核心更新集中在三大方向，精准匹配当前 LLM 应用的技术趋势与风险特征：

新增两大高频风险

向量与嵌入弱点、系统提示泄露。随着检索增强生成（RAG）成为 LLM 落地核心方案，向量数据库安全问题日益凸显；而系统提示作为 LLM 行为控制核心，多次出现泄露事件并被用于定向攻击，成为新的安全突破口。

升级核心风险定义

将原 “拒绝服务（DoS）” 升级为无限制资源消耗。风险范围从单纯的服务瘫痪，扩展至经济损耗、模型窃取、服务降级等多重危害，覆盖 LLM 商业化部署后的资源滥用全场景。

强化关键风险权重

过度权限风险全面强化，重点适配 LLM 智能体（Agent）与插件架构。当前 LLM 工具调用场景普及，权限失控导致的恶意操作、数据窃取风险显著上升，成为企业高频踩坑点。

二、2025 版 LLM 应用安全 Top10 核心风险详解

1. LLM01｜提示注入：最基础也最致命的核心风险

提示注入指用户输入（或外部内容）篡改 LLM 预设行为与输出结果，无需人类可读，只要被模型解析即可触发，分为直接注入与间接注入两类。直接注入为用户主动构造恶意提示绕过安全规则；间接注入为网页、文档等外部内容隐藏恶意指令，被 LLM 解析后触发攻击。

其危害涵盖敏感信息泄露、安全机制绕过、恶意代码执行、核心决策操控，多模态 AI（图文、音视频）的普及更让攻击者可将恶意指令隐写于图像、音频中，大幅提升攻击隐蔽性。

2. LLM02｜敏感信息泄露：数据合规的 “头号隐患”

LLM 应用在交互、训练、推理过程中，易泄露个人身份信息（PII）、商业机密、算法逻辑、密钥凭证等敏感数据。核心成因包括训练数据未脱敏、模型记忆残留、提示注入窃取、输出未过滤，典型场景为对话泄露用户隐私、训练数据泄露导致模型反转、配置泄露引发定向攻击，直接触发数据合规处罚与商业损失。

3. LLM03｜供应链风险：第三方依赖的 “隐形雷区”

LLM 全链路依赖（第三方预训练模型、LoRA 适配器、数据集、开源依赖库）存在篡改、投毒、漏洞植入风险，形成 “供应链攻击链”。高频风险包括老旧依赖漏洞、恶意 LoRA 适配器、模型来源不可信、协作开发流程被利用、端侧模型被篡改，一旦中招，将直接导致模型植入后门、输出恶意内容、核心数据泄露。

4. LLM04｜数据与模型投毒：从源头破坏模型可信性

攻击者通过篡改预训练、微调或嵌入数据，植入后门、偏见、恶意逻辑；或直接篡改模型权重，使模型在特定触发条件下执行恶意操作。攻击形式包括训练数据投毒、嵌入数据污染、模型后门植入、休眠代理（长期潜伏触发攻击），将直接导致模型输出失真、决策错误、恶意指令执行，且隐蔽性强、检测难度高。

5. LLM05｜输出处理不当：下游系统的 “直接突破口”

LLM 生成内容未经过严格校验、脱敏、编码，直接传递至下游系统（数据库、服务器、前端页面），本质是间接开放用户操作权限，极易引发XSS 跨站脚本、SQL 注入、SSRF 服务端请求伪造、远程代码执行等经典安全漏洞，成为攻击者突破企业系统的高频路径。

6. LLM06｜过度权限：智能体架构的 “核心失控风险”

LLM 智能体、插件被授予超出业务需求的功能、权限、自治权，因模型幻觉、提示注入导致非授权操作。核心风险源于功能冗余、权限过大、无人工复核，例如客服插件兼具 “读取” 与 “发送” 权限、工具开放无限制命令执行能力，一旦被利用，将导致数据篡改、文件删除、资金操作等高危害行为。

7. LLM07｜系统提示泄露：安全控制的 “隐形软肋”

系统提示（用于定义 LLM 角色、规则、权限的核心指令）中包含的密钥、权限规则、过滤逻辑、系统架构信息被泄露。需重点警惕：泄露本身不是最大风险，依赖系统提示作为安全控制才是核心隐患。攻击者可通过泄露信息绕过安全规则、定位漏洞、窃取凭证，实现精准攻击。

8. LLM08｜向量与嵌入弱点：RAG 架构的 “专属安全漏洞”

RAG 架构中，向量生成、存储、检索环节存在安全缺陷，引发数据泄露、嵌入反转、投毒、上下文污染等风险。典型场景包括多租户数据交叉泄露、恶意文档注入篡改检索结果、嵌入还原原始敏感文本、RAG 改变基础模型行为，直接导致知识库污染、隐私泄露、输出失真，是当前企业 RAG 落地的高频安全痛点。

9. LLM09｜虚假信息：模型幻觉引发的 “信任崩塌风险”

LLM 生成看似可信但实际虚假、误导性的信息，核心成因是模型幻觉、训练数据偏见、信息不全，叠加用户过度依赖，危害被进一步放大。典型场景包括医疗建议误导、法律虚假判例、企业决策错误、代码生成漏洞，不仅导致业务损失，还可能引发法律纠纷、品牌声誉崩塌。

10. LLM10｜无限制资源消耗：商业化部署的 “成本与服务双风险”

无管控的 LLM 推理请求，导致拒绝服务（DoS）、经济损耗（DoW）、模型窃取、服务降级。攻击形式包括超长输入洪水、高频恶意请求、高算力查询、API 提取模型权重、侧信道窃取核心参数，直接造成服务瘫痪、成本激增、核心知识产权泄露，是企业 LLM 规模化部署的核心阻碍。

三、企业 LLM 安全建设：四大核心防护原则

面对十大高频风险，报告明确：LLM 安全无单一 “万能方案”，需构建 “零信任、最小权限、数据隔离、持续监控” 的全链路防护体系，核心落地原则如下：

零信任原则

不直接信任 LLM 输入、输出与行为，对所有交互数据、模型输出进行严格校验与脱敏，杜绝 “默认可信” 思维。

最小权限原则

严格限制 LLM、插件、智能体的功能与权限，仅开放业务必需权限，高风险操作（数据删除、资金操作、系统配置）强制人工复核。

数据隔离原则

敏感数据与系统提示、向量数据库、训练数据严格隔离，敏感信息不嵌入系统提示，向量数据库实现多租户权限隔离，防止数据交叉泄露。

持续监控原则

构建全链路日志审计、异常检测、对抗测试机制，实时监控模型行为、资源消耗、数据流转，及时发现并处置恶意攻击、异常操作。

四、结语：安全是 LLM 规模化落地的前提

随着 LLM 技术的持续普及，安全风险将呈现 “复杂化、隐蔽化、产业化” 趋势，不再是 “可选项”，而是企业 AI 应用落地的 “必答题”。