本章将向你介绍 OWASP 面向 LLM 应用的 Top 10,这是一个用于识别并排序 LLM 部署中安全风险的成熟框架。你将学习如何将 OWASP 方法论适配到 LLM 场景中,了解关键风险评估标准,并掌握如何把这些洞见整合进组织自身的风险管理流程。
我们的目标,是让你具备有效评估和管理 LLM 特有安全风险 所需的知识与工具。这样的理解,对于保护敏感数据、维护系统完整性、确保监管合规,以及建立对 AI 技术的信任都至关重要。读完本章后,你将更有能力保护组织在 AI 领域的投入,并在日益复杂的安全环境中推动负责任的 AI 开发。
在本章中,我们将讨论以下主题:
- OWASP Top 10 方法论概览
- 面向 LLM 应用对 OWASP 的适配:关键考量
- LLM Top 10 的纳入标准
- 如何使用 LLM Top 10 进行风险评估与优先级划分
- 将 LLM Top 10 融入组织风险管理
OWASP Top 10 方法论概览
开放式 Web 应用安全项目(Open Web Application Security Project, OWASP)Top 10 是 Web 应用安全领域的一项核心资源。它基于专家共识,指出了 Web 应用面临的最关键风险。这份清单帮助开发者和组织对网络安全工作进行优先级排序。由于它会定期更新,以反映不断演变的威胁环境,因此这一框架已经成为全球组织在安排网络安全重点时的重要工具。
近年来,随着 LLM 的迅速崛起,OWASP 也对其方法论进行了调整,以应对这类 AI 系统所带来的独特安全挑战。OWASP 面向大语言模型应用的 Top 10,已经成为开发者、安全专业人士以及部署 LLM 解决方案的组织的重要参考资源。
OWASP Top 10 方法论建立在一种全面、数据驱动的方法基础之上。它结合广泛的社区反馈、行业调查与真实世界漏洞数据,以识别最紧迫的安全问题。它不是某一个人的项目,而是由众多志愿者共同参与完成的。
举个例子,作为这个 OWASP GenAI/LLM 项目的核心成员之一,同时也是本章作者,我(Ken Huang)曾在以下方面作出贡献:
- 作为多个版本 Top 10 列表的条目负责人,从最初版本到最新的 2025 版本
- 将所有版本的 Top 10 列表翻译成中文
- 作为 OWASP Agentic AI Security Initiative 的核心贡献者,主导威胁建模文档的开发
- 作为《Agentic AI – Threats and Mitigations》的核心作者
- 担任《GenAI Red Teaming Guide》的审阅者
- 担任 OWASP《LLM and Gen AI Data Security Best Practices》的审阅者
这只是说明:单个志愿者也可以在塑造社区驱动工作方面发挥关键作用。正是通过这种持续投入与协作工作,OWASP 方法论才能确保 Top 10 列表始终保持相关性与可操作性,真实反映当前安全威胁与最佳实践的状态。图 6.1 展示了 OWASP Top 10 的方法论。
图 6.1——OWASP 面向 LLM 应用的 Top 10 方法论
针对 LLM 应用,这一方法论已经被专门调整,以覆盖这些先进 AI 系统所带来的特定风险。整个过程主要包含以下几个方面:
- 数据收集(Data collection) :OWASP 会从多种来源收集信息,包括学术研究、行业报告,以及与 LLM 安全事件相关的已记录事故。这些数据为理解 LLM 部署中最常见且影响最大的脆弱性提供了基础。
- 风险分析(Risk analysis) :对每一项识别出的脆弱性,都会依据其潜在影响与发生可能性进行分析。分析时会考虑多个因素,例如利用难易度、可能带来的大范围破坏,以及是否存在有效缓解措施。
- 社区输入(Community input) :OWASP 会借助其庞大的安全专家、研究人员与实践者网络来收集洞见并验证结论。这种协作方式确保 Top 10 列表反映的是整个安全社区的广泛共识。社区主要通过 Slack 协作(例如,截至本章撰写时的 2024 年 9 月,
#project-top10-for-llmSlack 频道已有 1,420 名参与者)。
除此之外,GitHub 也被广泛用于围绕 Top 10 列表的协同工作。
OWASP LLM Applications Top 10 工作组还会每两周召开一次会议,讨论相关议题。核心成员也会频繁在各种安全会议上发表演讲,以吸收更多社区反馈。 - 分类(Categorization) :相似的脆弱性会被归入更大的风险类别中。这样的分类有助于形成一份更易管理、也更具可执行性的清单,使重点落在总体安全原则上,而不是陷入具体技术细节。
- 优先级排序(Prioritization) :这些风险类别接着会根据整体严重性与普遍程度进行排序。这样的优先级划分,能够帮助组织优先把资源投入到最关键的脆弱性上。
- 文档化(Documentation) :对于每一个风险,都会提供详细描述与示例,包括真实场景、建议的缓解策略,以及相关参考资料。
- 定期更新(Regular updates) :OWASP 面向 LLM 应用的 Top 10 会定期审查与更新,以反映 AI 安全这一快速发展领域中新出现的威胁、技术与最佳实践。例如,在 2024 年 8 月时,团队正在开发该文档的第 2 版。
最终形成的 Top 10 列表,在 LLM 安全生态中承担着多重作用:
- 意识提升(Awareness) :它提升了人们对 LLM 应用特有关键安全风险的认知,帮助组织理解在部署这些 AI 系统时所面临的独特挑战。
- 教育(Education) :每个风险类别配套的详细文档,构成了重要的教育资源,帮助开发者与安全专业人士理解 LLM 脆弱性的技术细节,以及如何应对。
- 风险评估(Risk assessment) :组织可以把 Top 10 作为自身风险评估的起点,对照其中列出的每一类风险来审视自己的 LLM 部署。
- 优先级划分(Prioritization) :通过突出最关键风险,Top 10 帮助组织更有效地安排安全工作优先级并分配资源。
- 标准化(Standardization) :该框架为讨论 LLM 安全风险提供了一套共同语言与统一标准,有助于组织内部不同利益相关方之间,以及跨行业之间的沟通。
- 合规(Compliance) :虽然它本身不是一个合规标准,但 OWASP 面向 LLM 应用的 Top 10 可以帮助组织让自身安全实践与多种监管要求及行业标准保持一致。
- 持续改进(Continuous improvement) :Top 10 的定期更新,鼓励组织不断重新评估并改进自身安全态势,以便在新威胁出现时及时做出适应。
需要特别说明的是,虽然 OWASP 面向 LLM 应用的 Top 10 提供了一个非常有价值的框架,但它并不应被视为对所有潜在安全风险的穷尽性罗列。由于 LLM 技术本身发展极快,新的脆弱性和攻击路径可能不断出现,而它们未必已经被当前版本的 Top 10 覆盖。因此,组织应把 OWASP 框架作为安全工作的基础,但同时也必须对那些与自身特定 LLM 部署相关的新兴威胁保持警觉。
此外,将 OWASP Top 10 方法论应用到 LLM 安全之中,本身也代表了我们对 AI 安全 理解方式的一次重大转变。传统网络安全框架往往主要关注如何保护数据与系统免受外部威胁;但 LLM 又引入了新的问题,例如模型内部机制、潜在偏差,以及 AI 与其训练数据之间复杂交互关系所带来的挑战。OWASP 方法论正是为了覆盖这些 LLM 特有问题而进行了调整,从而在传统网络安全与新兴 AI 安全之间架起桥梁。
在了解了 OWASP Top 10 方法论之后,接下来我们就来看它是如何被适配到 LLM 这一独特场景中的。
面向 LLM 应用对 OWASP 的适配:关键考量
将 OWASP Top 10 方法论适配到 LLM 应用,需要认真考虑 LLM 的独特特征以及潜在脆弱性。在本节中,我们将探讨其中的关键考量。图 6.2 给出了本节将讨论内容的高层示意图。
图 6.2——将 OWASP 适配到 LLM 应用中的关键考量
图 6.2 展示了现代 LLM 系统中的三个核心关注领域及其相关组成部分。下面我们将结合 OWASP 面向 LLM 应用的 Top 10 来分别分析这些内容:
LLM 架构
- 数据依赖(Data dependency) :这指的是 LLM 对大规模数据集在训练与性能方面的依赖。LLM 需要海量、多样、高质量的数据,才能学习模式、语言结构与知识。这种依赖对于模型能够在广泛主题与任务中生成连贯、符合上下文的回答至关重要。
从安全视角看,这一项与 LLM01(提示注入) 和 LLM07(数据泄露) 直接相关。训练数据的质量与安全性,会直接影响模型抵御对抗性提示的能力,以及其无意暴露敏感信息的倾向。因此,确保数据完整性并实施健壮的数据清洗流程,是缓解这些风险的关键。
例如,可以使用 Snorkel AI 来支持安全数据处理。Snorkel AI 的程序化标注技术能够创建专门的标注函数,用于在大规模数据集中系统性识别敏感信息模式。这些函数还可以编码组织的安全策略,从而确保数据保护协议被一致执行,同时尽量减少人类直接接触原始数据,从而降低未授权访问或意外泄露的机会。
它的置信度加权标注方法,也有助于识别那些不确定或潜在有问题的数据点,在其进入模型训练管线之前就进行额外安全审查。该系统在一定程度上还能帮助对抗提示注入脆弱性,因为可以通过可调整的标注函数来检测并标记潜在对抗模式,而不必牺牲有价值的训练数据。随着新安全威胁出现,组织能够快速更新这些函数来识别新的攻击技术,同时保留数据转换审计轨迹。这种敏捷性使组织能够在无需完整重处理数据集的前提下持续改进安全措施,因此 Snorkel 对那些数据安全要求经常变化的环境尤为有价值。
此外,像 OpenAI 的 Text Sanitizer 这样的工具,也能为清除训练数据中的个人可识别信息、机密内容及其他敏感元素提供实用方法。把全面的数据清洗实践纳入数据预处理流程,会为防止后续数据泄露建立起一道关键防线。组织应建立清晰的数据清洗协议,既覆盖明显标识符,也覆盖那些可能通过推断攻击被重建出来的细微信息形式,从而增强模型在部署过程中避免暴露敏感信息的能力。 - 提示工程(Prompt engineering) :这是构造有效输入以引导 LLM 输出的“艺术与科学”。它要求设计精准、清晰的指令或问题,以激发模型产生期望的回答。高水平的提示工程能够显著提升 LLM 输出的准确性、相关性与实用性,因此是高效利用这些模型的关键因素。
从 OWASP 的视角看,这与 LLM01(提示注入) 和 LLM02(不安全输出处理) 直接相关。合理的提示工程可以为恶意输入建立屏障,并确保模型输出在展示给用户或用于下游应用前,被适当过滤与清洗。
在实践上,可以考虑使用诸如 Llama Guard 或 Microsoft Azure Content Filter 等工具来阻止恶意提示注入。同时,也建议在不同处理阶段实施多层过滤机制,以提升输出安全性。 - 内容生成(Content generation) :这是 LLM 的核心功能,即生成人类式文本与回应。这一能力覆盖从简单回答,到复杂叙事、代码与分析性输出等多种内容形式。生成内容的质量与连贯性,是衡量 LLM 能力与实用性的重要指标。
从安全影响角度看,这与 LLM03(训练数据投毒) 和 LLM06(敏感信息泄露) 相关。内容生成过程必须被监控与控制,以防止模型生成有害、带偏或敏感内容,否则就可能引发安全漏洞或隐私泄露。
例如,在偏差检测方面,可以使用 IBM AI Fairness 360 和 Google What-If Tool。
模型保护
- 伦理考量(Ethical considerations) :这涉及 AI 技术的道德影响与负责任使用。其核心在于确保 LLM 在开发与部署过程中尊重隐私、避免偏差并防止滥用。伦理考量还包括对 AI 使用保持透明,以及正视 LLM 被广泛采用所带来的社会影响。
在 OWASP 框架中,这一项横跨多个问题,尤其与 LLM08(过度代理/自治) 和 LLM10(不安全插件设计) 关系密切。负责任的 AI 使用要求组织对 LLM 能力施加适当约束,并确保任何扩展或插件都以安全与负责任使用为前提进行设计。
一个推荐做法,是在组织内部建立 AI 伦理委员会,来监督 LLM 的部署,并确保其伦理使用及其与诸如欧盟《AI 法案》或 NIST AI Risk Management Framework 等标准保持一致。 - 可扩展性与性能(Scalability and performance) :这强调 LLM 在面对不断增长的需求时,仍能维持效率与性能。随着这些模型在各类应用中越来越核心,它们能否支撑更大规模请求、同时保持速度和准确率,就变得十分关键。这也包括优化资源使用、提升模型效率,以降低计算成本。
从 OWASP 视角看,这与 LLM09(过度依赖) ,以及潜在的 LLM04(拒绝服务) 相关。健壮的扩展能力可以帮助防止系统过载、避免演变为拒绝服务问题;而稳定性能则有助于降低组织对不够可靠的 AI 输出产生过度依赖的风险。 - 动态特性(Dynamic nature) :这指的是 LLM 系统随着时间推移所体现出的适应性与能力演化。LLM 并不是静态不变的;它们可以被微调、通过新信息更新,并在持续训练中不断改进。这种动态性使其可以不断增强能力,并适应新领域与新用例。
在 OWASP 框架中,这一特征与 LLM03(训练数据投毒) 和 LLM05(供应链脆弱性) 交叉关联。模型可更新、可微调的能力,也意味着 AI 供应链中会出现新的脆弱点,因此必须对模型的任何变更或更新建立健壮的验证与校验机制。
与现有安全体系的整合
- 监管合规(Regulatory compliance) :这指的是在 AI 部署中遵守法律与行业标准。随着 AI 技术日益普及,如何应对不同司法辖区下复杂的监管环境,已经成为关键问题。这既包括数据保护法、AI 专项法规,也包括行业特定合规要求。
虽然它并不直接一一映射到某一个 OWASP LLM 风险条目,但监管合规实际上支撑着多个风险点,尤其是与数据保护相关的问题(例如 LLM07:数据泄露)以及与负责任 AI 使用相关的问题(涉及 LLM08:过度自治)。 - 用户教育(User education) :这意味着要培训终端用户,以正确且安全地与 LLM 系统交互。这包括制定使用指南、提供培训,以及设计帮助用户理解 LLM 能力与局限性的界面。良好的用户教育不仅能减少误用,还能帮助管理预期,并推动负责任的 AI 交互。
在 OWASP 框架下,这一点对于缓解 LLM01(提示注入) 和 LLM09(过度依赖) 风险尤为关键。受过教育的用户,更不容易因错误使用而无意中引入脆弱性,也更能以批判性视角看待 AI 输出。 - 跨学科方法(Cross-disciplinary approach) :这意味着结合不同领域的洞见来增强 LLM 安全。有效的 LLM 安全需要来自多个领域的知识,包括计算机科学、语言学、心理学与伦理学。这样的跨学科方法,能够确保组织在面对 LLM 部署与使用带来的复杂挑战时,采取更全面的策略。
从 OWASP 的视角看,这种方法几乎是应对所有 LLM 风险的必要条件。它确保安全措施不只是技术导向的,同时还纳入语言、心理和伦理层面的考量——而这些在 LLM 应用中都是不可忽视的。
通过把上述这些组件放到 OWASP 面向 LLM 应用的 Top 10 这一语境中,我们可以看到:LLM 架构、模型保护与系统整合中的每一个方面,都在应对关键安全问题中扮演着重要角色。这种整体视角也强调:LLM 安全必须采取一种多维方法,不能仅依赖传统网络安全手段,而必须覆盖 AI 技术所带来的独特挑战。
带着这些关键考量,接下来我们就进一步看看:到底是根据什么标准,某些风险会被纳入 LLM Top 10 中。
LLM Top 10 的纳入标准
OWASP 面向 LLM 的 Top 10,是一份经过精心筛选的清单,列出了与这类先进 AI 系统相关的最关键安全风险。截至本书出版时,最新版本是 OWASP Top 10 for LLM Applications 2025 edition。
这份清单的筛选过程十分严格,确保最终结果真正代表 LLM 安全中最值得关注的问题。以下是用于评估并选入 LLM Top 10 的关键标准(关于 Top 10 中每一项风险的更多细节,请参见第 7 章):
- 普遍性(Prevalence) :那些在 LLM 部署中广泛存在、并在真实世界应用中被反复观察到的风险,会被优先考虑。例如,提示注入就是一个影响许多 LLM 实现的常见问题,因此属于高普遍性风险。
- 潜在影响(Potential impact) :如果某项风险真正发生,其后果有多严重,是一个关键衡量标准。比如,敏感信息泄露可能导致重大隐私事故与声誉损害,因此属于高影响风险。
- 可利用性(Exploitability) :这一标准评估某个脆弱性被攻击者利用的难易程度。比如,不安全输出处理在输出未被适当校验时,可能较容易被利用,从而导致安全事件。
- LLM 特有性(Uniqueness to LLMs) :Top 10 的重点,是那些特别适用于 LLM 的风险。例如,训练数据投毒就利用了 LLM 对大规模数据集的独特依赖,从而引入偏差或脆弱性。
- 可检测性(Detectability) :那些难以被检测出来的风险,会被更优先考虑。例如,模型窃取就可能难以监控,因为对模型的未授权访问往往发生得非常隐蔽,需要高级检测方法。
- 级联效应(Cascading effects) :有些风险会进一步触发其他安全问题。比如,供应链脆弱性如果波及多个组件,就可能导致整个 LLM 基础设施中的系统性失效。
- 缓解策略的适应性(Adaptability of mitigation strategies) :虽然 Top 10 的重点是识别风险,但其是否具备相对有效的缓解空间,也会被考虑。例如,过度代理(excessive agency)可以通过仔细评估并限制授予 LLM 的权限来加以缓解。
- 利益相关方输入(Stakeholder input) :筛选过程会纳入 AI 研究者、安全专家以及行业实践者的意见,以确保视角平衡。这种协作式方法有助于保证 Top 10 中的所有风险都是真正重要的。
需要说明的是,这些纳入标准并不是彼此孤立地应用,而是综合考虑的。一个在多个标准上都表现出高风险特征的问题,更有可能被纳入 Top 10。与此同时,随着 LLM 环境不断变化、新安全挑战不断出现,这些标准本身的权重也可能随时间调整。
正是对这些标准的综合运用,最终形成了一份既相关又可操作的 Top 10 清单。通过聚焦这些经过精心筛选的风险,组织可以更好地安排安全工作优先级,更有效地配置资源,并构建更稳健、更值得信赖的 AI 系统。
既然我们已经理解了风险筛选标准,接下来就来看:在实际中,应如何把 LLM Top 10 用于风险评估。
如何使用 LLM Top 10 进行风险评估与优先级划分
OWASP 面向 LLM 的 Top 10,为组织在 AI 部署中评估并排序安全风险,提供了一个强有力的工具。本节将探讨:如何有效利用这一框架,来提升 LLM 应用的整体安全态势。
把 LLM Top 10 纳入组织自身的风险评估流程,首先应从对 Top 10 中每一项风险进行全面审查开始,并结合具体 LLM 部署场景来判断其适用性与潜在影响。安全团队应审视自己的系统、工作流与使用场景,以判断每一项风险是否适用于当前部署,以及一旦发生会带来怎样的影响。这种初步评估,为组织理解自身脆弱性图景提供了一个基线。
使用 Top 10 的一个早期步骤,是构建一份定制化风险矩阵(risk matrix) 。这份矩阵应同时考虑风险发生的可能性与其对组织的潜在影响。影响发生概率的因素,可能包括:LLM 系统本身的复杂度、所服务应用的敏感性,以及当前已有安全控制的成熟度。影响评估则应覆盖财务、声誉、运营以及合规等多个维度。通过把 Top 10 中每一项风险映射到矩阵中,组织就能直观展示自身风险版图,并识别优先缓解区域。
例如,下面这张表格就是一份样例矩阵,组织可以根据自己的 LLM 系统进一步调整:
| 风险 ID | 风险描述 | 可能性 | 影响 | 风险等级 |
|---|---|---|---|---|
| LLM01 | Prompt Injection(提示注入) | 高 | 高 | 严重 |
| LLM02 | Insecure Output Handling(不安全输出处理) | 中 | 高 | 高 |
| LLM03 | Training Data Poisoning(训练数据投毒) | 中 | 中 | 中等 |
| LLM04 | Model Denial of Service(模型拒绝服务) | 高 | 中 | 高 |
| LLM05 | Supply Chain Vulnerabilities(供应链脆弱性) | 中 | 高 | 高 |
| LLM06 | Sensitive Information Disclosure(敏感信息泄露) | 高 | 高 | 严重 |
| LLM07 | Insecure Plugin Design(不安全插件设计) | 中 | 中 | 中等 |
| LLM08 | Excessive Agency(过度代理) | 低 | 中 | 中等 |
| LLM09 | Overreliance(过度依赖) | 中 | 中 | 中等 |
| LLM10 | Model Theft(模型窃取) | 低 | 高 | 高 |
表 6.1——OWASP LLM Top 10 风险的样例风险矩阵
LLM Top 10 还可以用于指导基于场景的风险评估(scenario-based risk assessments) 。安全团队可以围绕每一项风险构建假设场景,想象这些风险在具体 LLM 应用中会如何出现。通过这种场景推演,团队不仅能更清楚理解导致安全事件的潜在链条,也能更好地理解事后影响。这个过程不仅有助于风险优先级排序,也能帮助制定事件响应计划与缓解策略(关于这些内容的更多细节,请参见第 7 章)。
把 Top 10 纳入定期安全审计,也能显著提升审计有效性。审计人员可以把这份清单作为审计检查表,确保每一项风险都在评估过程中被系统审查。这种结构化方法有助于发现现有安全措施中的缺口,并为向利益相关方汇报发现提供清晰框架。
LLM Top 10 同样是进行供应商评估与第三方风险管理的有力工具。在评估 LLM 服务,或与 AI 厂商合作时,组织可以把 Top 10 作为基准,来判断潜在合作方在安全方面的成熟度。这有助于确保外部依赖不会给组织的 AI 生态系统引入不可接受的风险水平。
持续监控与持续重评估,则是高效使用 Top 10 框架不可或缺的组成部分。LLM 安全环境变化极快,新的威胁随时可能出现,并改变不同风险之间的相对重要性。定期根据 Top 10 重新审查组织自身的风险评估,有助于保持对安全态势的最新理解,并及时调整缓解策略。
该框架还可以用于指导 LLM 安全相关 KPI 与指标体系 的制定。通过让安全测量与 Top 10 风险对齐,组织就能够追踪自己在解决关键脆弱性方面的进展,并向利益相关方展示安全投入的成效。
需要注意的是,虽然 Top 10 为风险评估提供了一个清晰框架,但它不应被视为一份穷尽性清单。组织仍需对那些源于自身特定 LLM 应用、但并未出现在 Top 10 中的风险保持警觉。因此,这一框架应被视为更全面、同时结合组织自身需求与风险偏好的安全策略的起点。
将 LLM Top 10 融入组织风险管理
OWASP 面向 LLM 的 Top 10 本身是一项非常有价值的资源,但只有把它真正融入到组织更广泛的风险管理框架中,它的力量才会被充分释放。本节将探讨:如何把 LLM Top 10 嵌入现有组织流程,从而形成一种全面的 AI 安全方法。图 6.3 展示了我们接下来要讨论的流程框架。
图 6.3——将 LLM Top 10 融入组织风险管理
将 LLM Top 10 融入组织风险管理,首先应当与组织整体风险管理战略保持一致。这意味着要把 LLM 特有风险 映射到公司现有的风险类别与评估方法之中(参见前文“如何使用 LLM Top 10 进行风险评估与优先级划分”一节)。例如,提示注入攻击 可以被归入更大风险框架中的 数据完整性风险(Data Integrity Risks) ,其原因包括:
- 输入操纵(Manipulation of input) :提示注入攻击是通过向 AI 系统输入中插入恶意内容来实现的,这会直接破坏模型所处理数据的完整性。
- 非预期输出(Unintended outputs) :通过篡改提示,攻击者可以诱导 AI 生成与其预期功能不一致的输出,甚至产生错误或误导性信息。
- 绕过防护(Bypassing safeguards) :这类攻击可能绕过内置的伦理准则或内容过滤器,使 AI 输出有害或不适当内容。
- 数据投毒(Data poisoning) :在某些情况下,注入攻击甚至可能被用来引入带偏或错误信息,从而影响 AI 的知识基础或决策过程。
- 未授权访问(Unauthorized access) :提示注入也可能被用来从 AI 系统中提取敏感信息,从而违反数据保密要求。
- 系统滥用(System misuse) :通过操纵提示,攻击者还可能把 AI 系统用于其原本设计之外的用途,从而破坏其运行完整性。
把这类风险进行这样的归类,可以确保 LLM 安全 不会被当作一个孤立问题,而是被真正编织进组织整体风险版图之中。以下是将 LLM 安全风险纳入组织风险管理的关键步骤:
首先,要更新组织的风险登记册(risk register) ,把 LLM 特有风险 纳入其中。风险登记册应扩展为记录 Top 10 每一项风险的描述、潜在影响、可能性评估以及当前控制措施。这种文档化工作,可以为跟踪和管理 LLM 安全问题提供一个中心化参照点,并使其与其他组织风险一起被统一管理。你也可以把表 6.1 中的风险矩阵加入风险登记册作为参考。
其次,风险责任归属(risk ownership) 也是整合中的关键一环。对于 Top 10 中每一项风险,都应明确指定由组织中相应个人或团队负责。这可能意味着设立 AI 安全官角色,或者扩展现有岗位职责,让其涵盖 LLM 特有风险。清晰的责任归属不仅有助于建立问责,也能提升风险监控与缓解的效率。
整合过程还应包括:调整现有风险评估方法,以容纳 LLM 系统独特特征。传统风险评估工具可能需要被修改,以覆盖诸如 AI 决策过程不透明,或模型可能出现非预期行为等因素。这可能意味着开发新的评估维度,或调整原有打分体系,使其更准确反映 LLM 风险的性质。
把 LLM Top 10 纳入组织治理结构,也是一项很值得采用的实践。这可能意味着设立专门的 AI 风险委员会,或者扩展现有风险治理机构的职责范围,让其明确覆盖 LLM 安全问题。这样的治理机制,能够确保 LLM 风险在组织高层层面得到足够重视,并真正被纳入战略决策过程之中。
培训与意识提升项目 在整合过程中同样发挥关键作用。现有的风险管理培训,应增加关于 LLM 安全的模块,涵盖 Top 10 风险及其与组织业务的相关性。这种培训不应只局限于 IT 和安全团队,而应覆盖所有参与 AI 项目的利益相关方,从开发者到业务使用者。通过建立对 LLM 风险的共同认知,组织能够培育更具韧性的安全文化。
LLM Top 10 还应被纳入组织的项目管理与开发生命周期流程。这意味着在项目风险评估、设计审查与测试协议中,都要嵌入 LLM 安全考量。通过在开发全流程中嵌入这些检查点,组织就能更早识别并解决潜在脆弱性,从而降低后期修复的成本与复杂度。
汇报机制 也应被扩展,以覆盖 LLM 特有风险。面向高层管理层与董事会的定期风险报告,应明确展示 Top 10 风险的当前状态,包括已发生事件、险些发生的事故,以及新出现的关注点。这样可以确保 LLM 安全在组织最高层级持续保持可见性,并获得相应资源与关注。
整合工作还应延伸到第三方风险管理流程中。当组织评估参与 LLM 开发或部署的供应商与合作伙伴时,应把 Top 10 风险纳入尽职调查流程。这可能包括:要求合作方针对 Top 10 各项风险提供具体安全保证,或者对第三方 LLM 系统开展专项审计。
组织的事件响应计划与业务连续性计划 也应被更新,以覆盖与 LLM Top 10 风险相关的场景。这意味着要针对 LLM 相关安全事件开发专门响应协议,并确保恢复策略能够覆盖 AI 系统带来的独特挑战。
风险管理所用的指标与 KPI 也应被扩展,以纳入 LLM 安全相关测量。这可能包括:统计每一项 Top 10 风险对应的已识别脆弱性数量、衡量 LLM 特有问题的修复时间,或监测控制措施的有效性。这些指标可以提供对组织 LLM 安全态势的量化洞察,并帮助展示安全投入的价值。
风险管理流程中的定期审查与更新周期,也必须明确考虑 LLM 风险不断演变的特性。随着 OWASP 面向 LLM 的 Top 10 不断更新,组织应建立机制,以便快速评估并把新增或变动风险纳入自身框架。这种敏捷性对于快速变化的 AI 安全领域至关重要。
最后,组织还应考虑 LLM Top 10 与其他相关框架和标准之间的关系,例如:信息安全管理中的 ISO 27001,或 AI 领域中的 NIST AI Risk Management Framework。通过把 Top 10 风险映射到这些更广泛的标准中,组织就能够形成一套更加完整、一致的 AI 与信息安全风险管理方法。
总结
本章介绍了 OWASP 面向 LLM 应用的 Top 10。我们首先解释了 OWASP 方法论,以及它是如何被适配来应对 LLM 所带来的独特挑战的。随后,本章进一步探讨了将 OWASP 原则应用于 LLM 时的关键考量,包括:理解 LLM 架构、数据依赖、提示工程以及伦理考量的重要性。我们还介绍了 LLM Top 10 风险被纳入清单时所依据的标准,例如普遍性、潜在影响以及与 LLM 的特有相关性。
在本章后半部分,重点转向了实际应用层面,指导你如何在组织内部使用 LLM Top 10 来进行风险评估与优先级划分。我们给出了将这一框架融入现有风险管理流程的策略,包括:构建定制化风险矩阵、开展基于场景的风险评估,以及把 LLM 安全纳入项目管理生命周期。本章还特别强调了:由于 LLM 技术及其安全环境发展极快,持续监控与持续重评估是必不可少的。通过提供一套结构化方法,本章为你配备了有效评估与管理 LLM 特有安全风险 所需的知识与工具,从而帮助推动负责任的 AI 开发与部署。
在下一章中,我们将对 OWASP 面向 LLM 的 Top 10 中的每一项风险进行更深入分析,探讨它们的技术根源、潜在影响以及在真实世界中的表现形式。你将进一步理解 LLM 部署所面临的复杂安全环境,并获得识别、优先排序与缓解这些新兴 AI 安全挑战所需的知识。
