OWASP LLM Top 10 的核心概念是「Open Worldwide Application Security Project 發布的 LLM 應用最常見 10 大資安風險清單」。2023 首發、2025 更新版是業界跟企業安全溝通的共同詞彙、是 production LLM 應用做 threat modeling 跟合規溝通的標準入口。

概念位置

2025 版的 10 項(簡述):

編號名稱簡述
LLM01Prompt Injection把惡意指令藏進 LLM 會讀到的內容、間接影響模型行為
LLM02Sensitive Information DisclosureLLM 輸出洩漏訓練資料 / system prompt / PII
LLM03Supply Chain模型 / 訓練資料 / 工具 / dependency 供應鏈攻擊
LLM04Data and Model Poisoning訓練資料污染、模型行為被植入後門
LLM05Improper Output HandlingLLM 輸出未驗證直接執行(XSS / SQLi / RCE)
LLM06Excessive AgencyAgent 工具權限過大、副作用不可控
LLM07System Prompt LeakageSystem prompt 被使用者誘導露出
LLM08Vector and Embedding WeaknessesVector DB / embedding pipeline 的攻擊面
LLM09MisinformationHallucination / 過度信任 LLM 輸出
LLM10Unbounded ConsumptionResource exhaustion / cost runaway(DoS / 燒錢)

跟模組六的 mapping

OWASP模組六章節補充
LLM01 Prompt Injection6.3 IDE 場景 prompt injection直接對應
LLM02 Sensitive Disclosure6.4 跨雲端資料邊界4.16 靜態 RAG 資安
LLM03 Supply Chain6.0 模型供應鏈直接對應
LLM04 Data/Model Poisoning部分(限本地 dev、production 訓練屬 backend/07)M6 cover 模型來源信任、不 cover 訓練毒化
LLM05 Improper Output6.2 tool use 權限直接對應
LLM06 Excessive Agency6.2 + 4.4 agent 架構跨原理 + 安全
LLM07 System Prompt Leakage部分(4.17 coding agent harnessM6 沒專章、屬 scaffold 設計
LLM08 Vector / Embedding部分(4.1 RAG + 4.16 靜態 RAG 資安跨原理 + 應用
LLM09 Misinformationhallucination 卡 + 4.21 LLM-as-judge跨卡 + 應用
LLM10 Unbounded Consumption部分(4.18 prompt caching + 4.16 靜態 RAG 資安 abuseM6 沒專章、屬 abuse 緩解

設計責任

讀企業 LLM 安全 / 合規文件 / vendor security audit 看到「OWASP LLM Top 10」就是這 framing。寫 code 場景的判讀:

  1. 跟企業溝通必備:安全 team / vendor audit 都用 OWASP 編號、能 map 自己應用到 LLM01-LLM10 就能 align 對話
  2. 不是 production 才需要看:個人 dev 也適用大部分(LLM01 prompt injection、LLM03 supply chain、LLM06 excessive agency 對個人都直接相關)
  3. 6.6 OWASP 對照章節 的關係:本卡是定義 + mapping、章節是詳細 mapping + 個人 dev 場景的對應 control