研究對象:OWASP Top 10 for Large Language Model Applications(OWASP LLM Top 10)
完成日期:2026 年 4 月
目錄
- 縱向分析:從一個問題到一個產業標準的誕生之路
1.1 背景:ChatGPT 爆炸後的安全真空
1.2 起點:一個人、一份草稿、一個 LinkedIn 貼文
1.3 v0.1 與 v0.5:社群的第一次集結
1.4 v1.0(2023 年 8 月):奠基之作
1.5 v1.1(2023 年 10 月):淬煉與深化
1.6 2024 上半年:從清單到生態系
1.7 v2.0 / 2025 版(2024 年 11 月):重構的成年禮
1.8 2025 年:升旗艦、擴疆界
1.9 2026 年的現在:下一個迭代已在路上 - 橫向分析:在 AI 資安框架的版圖中定位 OWASP LLM Top 10
2.1 競品地圖:誰在做同一件事?
2.2 MITRE ATLAS:紅隊的聖經
2.3 NIST AI RMF:治理層的語言
2.4 CSA MAESTRO:Agent 時代的新挑戰者
2.5 ISO/IEC 42001:管理系統標準的合規框架
2.6 EU AI Act:監管力量的介入
2.7 綜合對比分析 - 縱橫交匯:OWASP LLM Top 10 的現在與未來
一、縱向分析
1.1 背景:ChatGPT 爆炸後的安全真空
要理解 OWASP LLM Top 10 為何誕生,必須先回到 2022 年 11 月 30 日這一天。
那天,OpenAI 把 ChatGPT 推上了網際網路。它沒有大張旗鼓,沒有大規模的媒體行銷,只是安靜地開放了一個網頁。然後,在接下來的幾週裡,整個科技產業——以及幾乎所有其他產業——都徹底傻了眼。兩個月後,ChatGPT 使用者突破一億,成為史上增長最快的消費者應用程式。
這場爆炸帶來的不只是興奮,還有一個幾乎沒人準備好的問題:當你把一個能夠理解並生成自然語言的系統嵌入到應用程式裡,安全問題究竟長什麼樣子?
傳統的應用程式安全(AppSec)建立在一個相對清晰的假設上:輸入是可預測的,輸出是確定性的,攻擊者的手法是有限的。SQL 注入、XSS、CSRF——這些攻擊之所以能被系統性地處理,是因為程式碼的行為是可以窮舉和測試的。
但 LLM 打破了這一切。LLM 的核心是統計機率,它的輸出本質上是隨機的(stochastic),它能「理解」上下文,它能被「說服」,它能被「誤導」。更重要的是,它可以被整合到任何有自然語言介面的系統裡——客服機器人、程式碼助手、文件處理工具、甚至企業的內部搜尋系統。
各大公司爭先恐後地把 GPT API 接進自家產品,開發者們興高采烈地構建「AI 應用」。但在這片繁榮背後,沒有人有一份完整的清單告訴他們:把 LLM 放進應用程式,你需要擔心哪些安全問題?
這個真空,就是 OWASP LLM Top 10 誕生的土壤。
值得一提的是,OWASP(Open Worldwide Application Security Project,開放全球應用程式安全計畫)本身已有超過二十年歷史。它最著名的產出就是「OWASP Top 10 for Web Applications」——那份每隔幾年更新一次、告訴開發者「網頁應用最常見的十大資安風險是什麼」的清單。這份清單以其簡潔性和實用性,成為了整個 Web 開發社群的共同語言,從新創公司到政府機關,幾乎人人都把它當作最基本的安全基準。
現在,LLM 的出現需要一份針對這個全新技術的類似文件。而且需要的很急。
1.2 起點:一個人、一份草稿、一個 LinkedIn 貼文
2023 年 4 月或 5 月(確切日期在各方記載中略有出入,但大致在 2023 年春季),Steve Wilson 在 LinkedIn 上發了一篇帖子。
Wilson 當時是 Contrast Security 的首席產品官(Chief Product Officer),是一個有十一項專利的資深技術人,在應用程式安全領域耕耘多年。他長期關注 AI 技術,也深刻理解 OWASP 的運作模式。
他發的貼文大意是:「我在想,是不是應該有一份針對 LLM 應用程式的 OWASP Top 10?有沒有人有興趣一起做這件事?」
按照他自己後來的描述,他當時並沒有預料到會發生什麼。他只是拋出了一個問題。
結果,迴響出乎意料地強烈。
幾十個、後來幾百個應用程式安全專家、ML 工程師、研究人員在留言區回應,表示感興趣或願意貢獻。這個回應的規模,說明了一件事:市場上確實存在巨大的空缺,而且很多人都感受到了這個空缺。
Wilson 把這些人拉進了 OWASP Slack 的一個頻道,然後事情就開始滾動了。
這個起點很能說明 OWASP LLM Top 10 的底色:它不是某家公司的市場策略,不是政府委託的研究項目,而是一群感受到了問題的從業者,以開源的方式自發聚集在一起,嘗試回答一個共同的問題。這種基因,後來深刻影響了這個計畫的發展軌跡——它的速度、它的包容性、它的實用主義傾向,以及它偶爾的混亂。
OWASP 基金會的角色更像是提供了一個屋頂和一個品牌背書。實際的工作,從一開始就是社群驅動的。
1.3 v0.1 與 v0.5:社群的第一次集結(2023 年 5–7 月)
社群組建之後,第一個棘手的問題來了:怎麼決定哪些風險進入清單?
傳統的 OWASP Top 10 for Web Applications 有龐大的數據支撐——多年累積的漏洞數據庫、CVE 記錄、實際的安全審計報告。但 LLM 應用當時才剛起步,根本沒有這樣的歷史數據。
這迫使工作小組採取了一種更「定性」的方法:由貢獻者們根據自己的專業判斷和實際觀察,提名他們認為最重要的 LLM 風險,然後通過投票和討論縮減名單。這種方式的好處是快,壞處是主觀性較強,而且容易受到貢獻者構成的影響(大部分早期貢獻者是北美的英語系資安從業者)。
不過,在那個時間點,「快」比「完美」更重要。
v0.1 在 2023 年 5–6 月間出現,基本上是一份工作草稿,在社群內部流通討論,很快就被更新覆蓋,公開存取性有限。
v0.5 是第一個被更廣泛分享的版本,於 2023 年 7 月左右在 GitHub 上公開。這個版本的目的是廣泛徵求反饋,而不是作為最終建議。它仍然粗糙,但已經勾勒出後來清單的基本形狀。
這個草稿版本引起了 LLM 社群的關注。研究人員開始評論,從業者開始分享,媒體開始報導。這種反饋浪潮,讓工作小組得以在短時間內收到來自不同角度的批評和建議,進一步打磨清單的內容。
這裡有一個值得記錄的早期爭議:「提示注入」(Prompt Injection)應該排第幾?
一部分貢獻者認為,提示注入是 LLM 安全中最根本性的問題,應該排第一;另一部分人認為,它太過「AI 特異性」,在實際的企業應用場景中,訓練資料中毒(Training Data Poisoning)或外掛程式濫用(Plugin Abuse)的風險更為直接和嚴重。這場辯論最終以提示注入排第一作結,但這個討論本身反映出一件重要的事:LLM 安全的威脅模型,跟傳統 Web 安全有著根本性的不同,而社群對此還在摸索中。
1.4 v1.0(2023 年 8 月):奠基之作
2023 年 8 月,OWASP Top 10 for Large Language Model Applications v1.0 正式發布。
這是一個歷史性的時刻,儘管當時很多人可能還沒有意識到這一點。這份文件,以其十個風險條目,第一次給了整個 LLM 應用安全領域一個共同的語言。
v1.0 的十個條目如下:
- LLM01:提示注入(Prompt Injection) — 攻擊者通過精心設計的輸入操控 LLM 行為
- LLM02:不安全的輸出處理(Insecure Output Handling) — LLM 輸出未經適當驗證就傳遞給後端系統
- LLM03:訓練資料中毒(Training Data Poisoning) — 惡意資料污染模型的訓練集
- LLM04:模型拒絕服務(Model Denial of Service) — 透過資源密集型操作癱瘓 LLM 服務
- LLM05:供應鏈漏洞(Supply Chain Vulnerabilities) — 依賴的第三方元件、模型或資料集存在風險
- LLM06:敏感資訊洩露(Sensitive Information Disclosure) — LLM 輸出中包含訓練資料中的敏感資訊
- LLM07:外掛程式設計不安全(Insecure Plugin Design) — 外掛程式未做足夠的輸入驗證或存取控制
- LLM08:過度授權(Excessive Agency) — LLM 被賦予過多許可權,執行了超出必要範圍的操作
- LLM09:過度依賴(Overreliance) — 使用者或系統過度信任 LLM 輸出,未進行人工審核
- LLM10:模型竊取(Model Theft) — 未授權存取或複製專有 LLM
這十個條目的選擇,有幾個值得特別說明的地方:
第一,「提示注入」的特殊地位。在傳統 Web 安全的 OWASP Top 10 裡,SQL 注入(Injection)一直是長期排名第一或第二的風險。提示注入的命名和排位,顯然是有意致敬這個傳統,同時也反映了社群的共識:LLM 應用中,輸入被惡意利用來操控系統行為,是最普遍、最根本的威脅。
第二,「過度授權」(Excessive Agency)的遠見性。在 2023 年 8 月,大多數 LLM 應用還只是聊天機器人。但工作小組已經把「給 LLM 太多自主操作許可權」列為重要風險,預見了後來 Agent(自主代理)架構的爆發。這個條目後來在 2025 版本中被大幅擴充,正是因為 Agent AI 的快速普及讓這個風險從理論走向現實。
第三,「訓練資料中毒」的教育意義。大多數企業開發者在 2023 年並不直接訓練大型模型,這個風險對他們的直接相關性有限。但它的存在,讓這份清單超越了「應用層安全」,開始觸及 AI 系統的全生命週期安全。這也埋下了後來計畫擴展視野的種子。
v1.0 發布後,反應是積極且迅速的。資安媒體廣泛報導,CISO(首席資訊安全官)和安全架構師開始在自己的工作中引用這份清單,培訓課程和合規文件開始出現對它的參照。對一份僅花了幾個月由志願者社群製作的文件來說,這樣的接受速度是異乎尋常的。
原因之一,是 OWASP 品牌的背書效應。對很多企業的合規和治理團隊來說,「OWASP 說的」具有一定的可信度和可引用性,哪怕他們不一定深入了解背後的細節。v1.0 給了他們一個可以拿來「匯報給老闆」或「寫進安全需求文件」的框架。
1.5 v1.1(2023 年 10 月):淬煉與深化
v1.0 發布後不到兩個月,v1.1 在 2023 年 10 月推出。
這次更新由 Ads Dawson 主導(Steve Wilson 在後來的聲明中特別感謝了他的貢獻)。v1.1 的主要目的不是推翻 v1.0,而是根據社群反饋進行細化和精煉。
主要變化包括:
更清晰的描述和範例。v1.0 的一些條目描述相對抽象,v1.1 增加了更多具體的攻擊場景示例,讓開發者更容易理解「這個風險在我的系統裡長什麼樣子」。
攻擊路徑的細化。特別是提示注入,v1.1 區分了「直接提示注入」(用戶直接在輸入中注入惡意指令)和「間接提示注入」(攻擊者通過 LLM 可能存取的外部資料——網頁、文件、資料庫條目——注入惡意指令),這個區分對理解 RAG(檢索增強生成)架構的安全問題非常關鍵。
條目之間關係的澄清。v1.0 的十個條目有些存在重疊或邊界模糊的地方,v1.1 做了一定程度的釐清,讓各條目的「負責範圍」更清晰。
v1.1 很快成為被引用最廣的版本,並持續了大約一年直到 v2.0 推出。它之所以能成為事實上的長期標準,部分原因是它的翻譯工作:在 2024 年 1 月,志願者完成了中文(繁簡均有)、印地語和葡萄牙語的本地化版本,讓這份清單真正走向全球。
值得一提的是,v1.1 發布的時機恰好是 LLM 應用商業化加速的關鍵期。2023 年秋冬,GPT-4 已廣泛可用,Anthropic 的 Claude 2 也已上市,Microsoft 的 Copilot 開始整合進 Office 全家桶,各家企業的 AI 試點項目正在轉化為正式的生產部署。v1.1 以恰當的時機出現,填補了從業者急需的指引空白。
1.6 2024 上半年:從清單到生態系
進入 2024 年,OWASP LLM Top 10 計畫面臨一個身份選擇的問題:它應該繼續做一份維護良好的清單,還是成長為一個更完整的 AI 安全資源中心?
答案,在市場的壓力下逐漸清晰起來。
2024 年初的擴展:工作小組意識到,很多在跟進這個計畫的人,不只是開發者和滲透測試師,還有 CISO、合規官員、政策制定者。這些人需要的不是程式碼層面的防禦技巧,而是治理框架、問題清單和組織政策建議。
回應這個需求,計畫在 2024 年初擴大了受眾定位,推出了**《LLM 網路安全與治理清單》(LLM Cybersecurity and Governance Checklist)**,這是一份主要面向 CISO 和安全領導者的指引文件,幫助他們評估和管理組織層面的 LLM 安全風險。這份文件的出現標誌著一個重要的戰略轉變:OWASP LLM Top 10 計畫不再只是工程師的工具書,它開始嘗試在整個組織的安全治理架構中找到自己的位置。
工作小組的擴編:到 2024 年中,計畫的貢獻者已從最初的幾十人擴展到超過 500 名來自全球 110 多家公司的專家。這種規模的增長,帶來了更豐富的視角,但也帶來了協調難度的增加。工作小組採用了更正式的工作方式,包括雙週固定會議、分主題的工作小組(Working Groups)、以及更系統化的 GitHub Issue 和 PR 流程。
企業贊助的引入:2024 年下半年,計畫開始建立正式的企業贊助計畫。這是一個微妙但重要的時刻。作為開源計畫,OWASP LLM Top 10 需要資源來維持運作——伺服器、活動組織、全職或半全職的協調人等。但接受企業贊助,也帶來了中立性的疑慮:如果安全廠商贊助了這個計畫,他們會不會影響清單的內容?
Steve Wilson 和核心團隊對此有明確的立場:贊助者可以資助計畫,但不能影響清單的技術內容。這條原則被寫入了計畫的憲章文件。首批贊助商包括 Prompt Security、HiddenLayer、Snyk、Synack 等 AI 安全相關廠商。諷刺的是,這些廠商的商業模式本身就是「幫助企業應對 OWASP LLM Top 10 列舉的風險」——贊助這個計畫對他們而言也是市場行銷的一部分。
與 NIST、MITRE 的對話:2024 年,計畫開始更積極地與 NIST 和 MITRE 等標準機構互動,嘗試把 OWASP LLM Top 10 的分類架構與這些機構的框架進行對應(mapping)。這項工作很重要,因為企業採購決策和政府合規要求往往以 NIST 或 ISO 框架為依據,而 OWASP 清單被認可為這些框架下的具體技術細項,能大幅提升其在合規場景中的使用頻率。
2024 上半年的這些動作,本質上是在為 v2.0 的發布做準備。社群在這段時間積累了大量來自實際部署案例的反饋,了解了哪些 v1.1 的條目需要更新、哪些新的威脅需要被納入,以及哪些條目的邊界需要重新定義。
1.7 v2.0 / 2025 版(2024 年 11 月 18 日):重構的成年禮
2024 年 11 月 18 日,OWASP Top 10 for Large Language Model Applications 2025 版(v2.0) 正式發布。雖然版本號稱「2025」,但實際的發布時間是 2024 年底——這個命名慣例是有意為之,目的是讓這份清單「在 2025 年整年都保持相關性」。
這是自 v1.0 以來規模最大的一次重構,而不只是修訂。整個清單的框架被重新審視,有些條目被合併、有些被重新命名、有些全新加入。讓我們逐一看看這次變化的邏輯:
2025 版十大風險清單:
- LLM01:2025 — 提示注入(Prompt Injection) [繼承自 v1.1,強化]
- LLM02:2025 — 敏感資訊洩露(Sensitive Information Disclosure) [繼承,調整位置]
- LLM03:2025 — 供應鏈(Supply Chain) [擴展]
- LLM04:2025 — 資料與模型中毒(Data and Model Poisoning) [合併重構]
- LLM05:2025 — 不當輸出處理(Improper Output Handling) [繼承,重新命名]
- LLM06:2025 — 過度授權(Excessive Agency) [大幅擴展]
- LLM07:2025 — 系統提示洩露(System Prompt Leakage) [新增]
- LLM08:2025 — 向量與嵌入弱點(Vector and Embedding Weaknesses) [新增]
- LLM09:2025 — 錯誤資訊(Misinformation) [重構自 v1.1 的「過度依賴」]
- LLM10:2025 — 無限制消耗(Unbounded Consumption) [重構自 v1.1 的「模型 DoS」]
幾個關鍵的新增與調整值得深入討論:
系統提示洩露(LLM07:2025)的加入:這個新條目回應了 2023–2024 年間大量真實案例。許多以 LLM 為後端的產品,其系統提示(system prompt)包含了重要的業務邏輯、安全規則、甚至 API 金鑰。開發者往往假設「系統提示是隱密的,用戶看不到」,但多個研究和案例顯示,通過精心設計的提示,用戶可以誘導 LLM 重複或洩露系統提示的內容。社群認為這個漏洞類型真實存在、危害明確,應該有獨立的條目。
向量與嵌入弱點(LLM08:2025)的加入:這個條目的出現,是 RAG(Retrieval-Augmented Generation)技術普及的直接反映。到 2024 年,RAG 已從學術概念成為企業 LLM 部署的標配架構。它讓模型能夠存取外部知識庫,但也引入了全新的攻擊面:向量資料庫可以被投毒(Embedding Poisoning)、可以被相似性攻擊操控(Similarity Attacks)、可以被未授權存取。這個條目的存在,說明 OWASP LLM Top 10 在努力跟上技術架構的演進速度。
過度授權(LLM06:2025)的大幅擴展:v1.1 時期,「過度授權」是一個有些抽象的條目——因為彼時 Agent AI 尚不普及。到了 2025 版,這個條目變得具體而急迫。隨著 LangChain、AutoGPT、以及各大廠商的 Agent 框架廣泛部署,「給 AI 代理太多操作許可權」已經從理論風險變成了真實事故的根源。條目的擴展包括對許可權最小化、人類監督點設計、以及工具使用審計的更詳細討論。
無限制消耗(LLM10:2025)的語意擴展:v1.1 中的「模型 DoS」主要聚焦於可用性攻擊(讓服務停擺)。到了 2025 版,這個條目擴展至「資源管理失控的所有後果」,包括雲端成本暴增(被形象地稱為「Denial of Wallet / DoW」攻擊)、模型複製的風險,以及大規模部署中資源消耗的不可預測性。這個擴展反映了一個現實:很多企業在部署 LLM 應用後才驚覺,一個設計不良的應用可以讓 API 費用在一夜之間暴漲十倍。
v2.0 發布的配套動作:計畫同步啟動了正式的企業贊助計畫(Sponsorship Program),同時發布了多份配套文件,包括 AI 安全解決方案生態圖、針對 CIO/CISO 的治理指引更新版、以及面向 AI 紅隊演練(Red Teaming)的操作指南。這些動作說明,計畫在技術文件之外,開始系統性地建構圍繞核心清單的整個資源生態系。
Steve Wilson 在 2025 版發布時說的那句話很有代表性:「2023 年的清單在提升意識和奠定安全使用 LLM 的基礎方面取得了巨大的成功,但自那以後我們學到了更多。」這句話承認了初版的局限,也展示了這個計畫願意根據現實更新自己的勇氣。
1.8 2025 年:升旗艦、擴疆界
2025 年 3 月 27 日,OWASP 基金會發出了一則重要公告:OWASP Top 10 for LLM and Generative AI List 正式更名並升格為 OWASP Gen AI Security Project(OWASP GenAI 安全計畫),同時獲得 OWASP 的**旗艦計畫(Flagship Status)**認證。
這是 OWASP 體系中最高的項目等級,只有少數幾個最具影響力、最成熟的計畫才能獲得這個認證。「從 Lab 到 Flagship,只花了 18 個月」——Steve Wilson 的這句描述,既是事實,也說明了這個計畫在業界的接受速度之快。
更名的深意:「Gen AI Security Project」比「LLM Top 10」有更廣的涵蓋範圍。這次更名標誌著計畫正式承認,它的工作已經超越了狹義的「LLM 應用安全」,開始涵蓋生成式 AI 的整個安全與治理版圖,包括 Agentic AI(自主代理)系統、多模態 AI、AI 基礎設施安全,以及 AI 系統的倫理和監管合規問題。
Agentic AI 的加速響應:2025 年,隨著 OpenAI Agents SDK、Anthropic MCP(Model Context Protocol)、以及各大廠商的 Agentic 框架紛紛落地,Agent AI 已經從研究課題變成產業現實。計畫快速反應,在 LLM Top 10 之外,推出了獨立的 OWASP Top 10 for Agentic Applications(代理應用十大風險),專門處理多步驟自主代理帶來的獨特安全挑戰。這份新清單涵蓋了代理間的通信安全、記憶體管理的隱私風險、工具使用的許可權控制,以及自主決策中的「目標漂移」問題。
社群規模的質變:到 2025 年底,OWASP GenAI Security Project 的社群規模達到了約 8,000 位活躍成員,來自超過 18 個國家的 600+ 名專家貢獻者,背後有 130+ 家公司的支持。這個規模,讓它在開源安全計畫中屬於第一梯隊。
這樣的增長不是偶然的。它反映了一個市場現實:企業合規部門、監管機構、以及採購評估流程,已經開始把「OWASP LLM Top 10 合規」作為評估 AI 供應商和內部 AI 系統安全性的基準要求。當一份清單開始出現在採購問卷和安全評估框架裡,圍繞它的生態系就會快速建立起來。
1.9 2026 年的現在:下一個迭代已在路上
截至本報告撰寫時(2026 年 4 月),OWASP GenAI Security Project 的最新動態顯示:
2026 版更新已啟動:Steve Wilson 在 LinkedIn 上宣布,已於 2026 年初啟動 2026 版 OWASP Top 10 for LLM Applications 的更新社群調查。這意味著下一版清單正在醞釀,預計將更深入地回應 AI Agent 架構的安全挑戰,以及大型語言模型在多模態(vision+text+code)場景下的新攻擊向量。
2026 年 3 月 RSA 峰會:計畫在 2026 年 RSA Conference 前後組織了多場活動,包括 OWASP GenAI Security Summit、Agentic AI 黑客松,以及新版 AI Security Solutions Landscape Guide 的發布。這些活動顯示,計畫不只是在維護一份文件,而是在打造一個圍繞 AI 安全的年度行業議題設定者。
社群規模繼續增長:據 2026 年 3 月的公告,社群成員已超過 25,000 人——從 2024 年底的 5,500 人到現在的 25,000 人,這個增長速度說明企業對 AI 安全指引的需求仍在加速。
縱觀這段歷史,OWASP LLM Top 10 的發展軌跡可以概括為:一個敏銳的從業者捕捉到了市場空缺,用社群力量快速填補,借助 OWASP 品牌的信用背書放大影響力,然後在產業需求的推動下不斷演化,最終從一份草稿成長為整個 AI 安全生態的基礎設施之一。
二、橫向分析
在了解了 OWASP LLM Top 10 的誕生和演化之後,我們需要把它放在更廣的生態中來理解它的位置。
2.1 競品地圖:誰在做同一件事?
先回答一個最基本的問題:OWASP LLM Top 10 的競品是什麼?
這個問題的答案比想象中複雜。嚴格來說,OWASP LLM Top 10 是一份「十大風險清單」,它的直接對標不是一個商業產品,也不是另一個「十大清單」,而是整個 AI 安全/風險框架的生態系。
我們可以把主要的參照對象分為幾個層次:
同質競品(另一份 LLM 安全清單):幾乎不存在。沒有其他組織推出了一份跟 OWASP LLM Top 10 直接對標、形式相同的清單。這說明 OWASP 的先發優勢和品牌效應建立了相當高的壁壘。
不同形式的 AI 安全框架:這是最重要的對比維度,包括 MITRE ATLAS、NIST AI RMF、CSA MAESTRO 等。這些框架與 OWASP LLM Top 10 解決的是相關但不完全相同的問題,它們之間更像是互補關係而非直接競爭,但在資源分配和注意力競爭方面確實存在摩擦。
監管框架:EU AI Act、美國 NIST 標準等,以政府力量推進,與 OWASP 的民間開源路徑形成對比。
本節按照上述維度展開分析。
2.2 MITRE ATLAS:紅隊的聖經
MITRE ATLAS(Adversarial Threat Landscape for AI Systems)是目前與 OWASP LLM Top 10 關係最為互補、也最常被一起使用的框架之一。
背景與起源:MITRE Corporation 是美國的聯邦資助研究中心(FFRDC),最知名的產出是 MITRE ATT&CK——那份描述攻擊者在網路攻擊中使用的戰術、技術和程序(TTP)的知識庫,已成為全球 SOC(安全運營中心)的標配參考。MITRE ATLAS 是 ATT&CK 在 AI/ML 系統上的延伸,首次發布於 2021 年——早於 OWASP LLM Top 10 兩年。
核心方法論差異:ATLAS 的底層邏輯是「模擬攻擊者的視角」,它把對 AI 系統的攻擊描述為一系列有結構的戰術(Tactics)→ 技術(Techniques)→ 子技術(Sub-techniques)。截至 2025 年底(v5.1.0),ATLAS 收錄了 16 個戰術、84 個技術和 56 個子技術,以及 42 個真實案例研究。
相比之下,OWASP LLM Top 10 是以開發者和應用設計者為受眾的風險分類清單,它說「這是十個最重要的風險」,然後告訴你「如何預防和緩解」。它不試圖詳盡描述攻擊者的所有手法,而是告訴防守方「你需要重點守哪幾道門」。
用戶群體的差異:在實際使用中,MITRE ATLAS 更多出現在紅隊演練(Red Team Exercise)和威脅情報分析場景,使用者是安全研究員、滲透測試師和威脅獵人。OWASP LLM Top 10 更多出現在開發安全評審(Secure Code Review)、安全需求設計和管理層匯報場景,使用者是開發者、安全架構師和 CISO。
真實用戶口碑:接觸過兩個框架的從業者,通常的評價是:「ATLAS 讓我知道攻擊者怎麼想,OWASP 讓我知道我需要修什麼。」在實際工作中,更多人將 ATLAS 視為參考資料,而將 OWASP LLM Top 10 視為日常操作清單。部分原因是 ATLAS 的學習曲線較陡,而 OWASP 的格式更貼近工程師的工作習慣。
框架間的對應關係:有趣的是,同一個漏洞類型在兩個框架中都有對應。以提示注入為例,它在 OWASP 是 LLM01,在 ATLAS 是技術 AML.T0051。這種雙重存在,其實強化了兩個框架各自的地位——安全審計人員可以說「我們發現了一個 OWASP LLM01 / ATLAS AML.T0051 類型的漏洞」,同時被工程師和威脅分析師理解。
MITRE 的組織優勢與局限:MITRE 作為美國聯邦資助機構,有獨特的公信力和政府採購相關性,但也意味著它的更新節奏通常比社群驅動的 OWASP 慢。ATLAS 的更新是有計畫性的版本發布,而 OWASP LLM Top 10 在社群討論成熟後就可以快速推出修訂版。在 AI 技術演化速度如此之快的當下,更新節奏的差異具有實際影響。
總結:MITRE ATLAS 和 OWASP LLM Top 10 是「同一賽道、不同用途」的兩個工具。它們不是零和競爭,最佳實踐是兩者並用:開發階段用 OWASP 做防禦設計,上線後用 ATLAS 做威脅建模和紅隊演練。對組織而言,選擇「OWASP 還是 ATLAS」是一個偽命題,真正的問題是「在哪個環節用哪個」。
2.3 NIST AI RMF:治理層的語言
NIST AI Risk Management Framework(AI RMF) 是美國國家標準暨技術研究院(NIST)於 2023 年 1 月發布的人工智慧風險管理框架,版本為 1.0。
背景:NIST 在傳統網路安全領域的影響力是公認的,其《網路安全框架》(CSF)被廣泛用於美國聯邦機構的安全合規,也影響了私部門的安全實踐。AI RMF 的發布,是 NIST 在 AI 時代延續這種影響力的嘗試。
核心方法論:NIST AI RMF 的核心是四個功能模組(Functions):
- GOVERN(治理):建立AI風險管理的文化、政策和責任結構
- MAP(映射):識別和分類AI風險,理解背景和利益相關者
- MEASURE(衡量):對已識別的風險進行定量或定性評估
- MANAGE(管理):優先處理、響應和監控風險
這個架構更像是管理系統框架,而非技術安全清單。它告訴你一個組織應該有什麼治理流程、責任機制和決策框架,但不深入規定具體的技術防禦措施。
與 OWASP 的根本差異:用一個比喻來說,NIST AI RMF 像是企業的「ISO 9001 品質管理系統」——它定義了應該有哪些管理流程,並提供了一個通用語言讓不同部門和監管者溝通;OWASP LLM Top 10 則更像是「工廠的操作安全手冊」——它直接告訴工人哪些操作危險、應該怎樣避免。
在實際組織中的應用:NIST AI RMF 在以下場景最有用:一,CISO 向董事會匯報 AI 安全時需要一個結構化框架;二,企業建立 AI 採購評估標準時需要一個共同的評估基礎;三,與監管機構溝通 AI 風險管理時需要對齊的語言。OWASP LLM Top 10 則在以下場景最有用:開發者做安全設計評審;滲透測試師規劃測試範圍;中小企業沒有資源建立完整 AI RMF 流程時需要一個快速上手的安全基準。
用戶反饋的分歧:使用 NIST AI RMF 的從業者批評它「太抽象、太高層,落地難」——框架的 1,000+ 個控制項讓很多中小型組織望而卻步。使用 OWASP LLM Top 10 的人有時批評它「太技術、太碎,缺乏組織層面的整合性」。這種互補性的抱怨,其實進一步說明了兩者是不同層次的工具,理想情況下應該配合使用。
NIST 的政治優勢:對美國聯邦機構和與美國政府有業務的企業而言,NIST 框架具有近乎強制的地位。這讓 NIST AI RMF 在合規驅動的場景中佔有無可替代的地位,而 OWASP LLM Top 10 的影響主要在工程文化更開放的私部門和科技業。
互動關係:重要的是,OWASP LLM Top 10 和 NIST AI RMF 並不是非此即彼的選擇。OWASP 計畫的工作組已主動將清單條目與 NIST AI RMF 的功能模組進行對應,讓已採用 NIST 框架的組織能輕易將 OWASP 清單整合為 NIST「Measure 和 Manage」功能的具體技術對照表。這種互操作性是雙方都在推動的方向。
2.4 CSA MAESTRO:Agent 時代的新挑戰者
MAESTRO(Multi-Agent Environment Security, Threat, Risk, and Operational framework)是**雲安全聯盟(Cloud Security Alliance, CSA)**在 2024–2025 年間針對 Agentic AI 系統推出的新框架,代表了 AI 安全框架的一個新趨勢。
為什麼會有 MAESTRO:MAESTRO 的誕生,直接回應了 OWASP LLM Top 10 和 MITRE ATLAS 在 Agent AI 方面覆蓋不足的問題。傳統 LLM 安全框架都假設 AI 系統的行為是「輸入→輸出」的一次性交互,但 Agentic 架構中,AI 系統可以規劃、記憶、呼叫工具、與其他 Agent 協作、並自主執行多步驟任務。這種從「被動回答」到「主動行動」的質變,帶來了傳統框架無法完整覆蓋的新型風險。
MAESTRO 的核心架構:它定義了六個分析層次,跨越 Agentic AI 的完整生命週期:
- 基礎模型層(Foundation Model Layer):LLM 或多模態模型的固有漏洞
- 資料操作層(Data Operations Layer):訓練和執行期資料的完整性與治理
- 代理框架層(Agent Framework Layer):協調邏輯、推理迴路和規劃控制
- 基礎設施層(Infrastructure Layer):API 閘道、連接器和執行環境
- 評估與信任層(Evaluation & Trust Layer):系統行為的可觀測性和可信度
- 部署與操作層(Deployment & Operations Layer):持續的安全監控和治理
MAESTRO 的分析框架借鑒了傳統 STRIDE 威脅建模方法,但將其延伸到 Agent 架構的動態性和不確定性。
CSA 的特殊背景:CSA 以雲端安全為核心領域,在全球企業安全市場(特別是採用雲端基礎設施的組織)有很高的認知度。MAESTRO 的推出,代表了雲安全社群開始系統性地接管 AI 安全議題的一部分——這對 OWASP 來說既是挑戰,也在某種程度上是驗證。
MAESTRO 的局限:目前來看,MAESTRO 在企業採用率上仍遠不及 OWASP LLM Top 10。主要原因有三:一,它誕生更晚,社群生態尚未成熟;二,它的複雜度更高,學習曲線更陡,不如 OWASP 的十大清單直觀易用;三,Agentic AI 的大規模部署本身仍在早期,很多企業還沒有迫切到需要一個完整的 Agent 安全框架。
趨勢判斷:在 AI Agent 架構加速普及的背景下,MAESTRO 的重要性可能在未來 1–2 年顯著上升。OWASP 自己也意識到了這一點,推出了獨立的 OWASP Top 10 for Agentic Applications,試圖在這個方向保持主導地位。MAESTRO 和 OWASP Agentic Top 10 的競爭,將是未來幾年 AI 安全框架領域最值得觀察的動態之一。
2.5 ISO/IEC 42001:管理系統標準的合規框架
ISO/IEC 42001 是國際標準化組織(ISO)於 2023 年 12 月發布的 AI 管理系統標準,提供了建立、實施、維護和持續改進 AI 管理系統的框架。
它的角色定位:如果說 NIST AI RMF 是美國的 AI 治理參考框架,ISO 42001 就是全球化版本的 AI 管理系統標準。它的格式遵循 ISO 管理系統標準的通用「高層次結構」(High-Level Structure,HLS),這意味著它可以與 ISO 9001(品質)、ISO 27001(資訊安全)等現有標準無縫整合——對已有 ISO 認證體系的企業來說,這是極大的便利。
與 OWASP LLM Top 10 的關係:ISO 42001 是「管理系統認證」,OWASP LLM Top 10 是「技術風險清單」。ISO 42001 的 Annex A 列出了具體的 AI 系統控制項,其中涵蓋的 LLM 相關風險類別與 OWASP LLM Top 10 高度重疊。有合規顧問把 OWASP LLM Top 10 稱為「ISO 42001 在 LLM 應用安全方面的技術執行參考」——這種定位對兩者都有利。
用戶評價:ISO 42001 的主要受眾是希望獲得第三方認證的大型組織,以及需要向其客戶展示 AI 治理成熟度的 AI 廠商。它在採購評估和監管合規場景中越來越重要,但在技術社群的日常使用中,它的存在感遠不如 OWASP LLM Top 10。
2.6 EU AI Act:監管力量的介入
歐盟人工智慧法案(EU AI Act) 是目前全球最具影響力的 AI 監管立法,於 2024 年 8 月 1 日正式生效,大部分條款將在 2026 年完全適用。
它如何影響 AI 安全框架的競爭格局:EU AI Act 本身不是安全技術框架,它是法律法規。但它的存在,從根本上改變了企業採用 AI 安全框架的動機——從「最佳實踐」變成了「合規要求」。EU AI Act 要求高風險 AI 系統(包括許多企業 LLM 應用)建立健全的安全管理體系,而 OWASP LLM Top 10、ISO 42001 和 NIST AI RMF 的條目,被業界普遍認為是滿足這些要求的具體措施參考。
對 OWASP LLM Top 10 的推動效應:EU AI Act 的實施,在歐洲以及與歐盟有業務往來的全球企業中,大幅提升了對 AI 安全框架的需求。由於 OWASP LLM Top 10 是目前最廣為人知、最易於操作的 LLM 安全清單,許多合規咨詢顧問把它作為 EU AI Act 合規工作的起點推薦給客戶。這種「合規驅動的採用」,讓 OWASP LLM Top 10 的使用者從純粹的技術社群擴展到更廣泛的合規和業務受眾。
2.7 綜合對比分析
下表整理了主要框架的核心特徵對比:
框架 發起組織 首發時間 主要受眾 核心形式 最佳使用場景 OWASP LLM Top 10 OWASP(社群) 2023/08 開發者、安全架構師、CISO 十大風險清單 + 緩解指引 安全設計評審、快速風險識別、管理層溝通 MITRE ATLAS MITRE(美國聯邦研究中心) 2021 紅隊、威脅分析師、SOC TTP 矩陣(戰術/技術/程序) 威脅建模、紅隊演練、檢測規則開發 NIST AI RMF NIST(美國政府機構) 2023/01 CISO、合規官員、政策制定者 四功能治理框架 企業治理、聯邦合規、風險管理體系建立 CSA MAESTRO CSA(雲安全聯盟) 2024–2025 Agent AI 安全工程師、架構師 六層威脅建模框架 Agentic AI 系統安全設計 ISO/IEC 42001 ISO 2023/12 需要認證的企業、AI 廠商 管理系統標準 第三方認證、供應鏈審查、監管合規 EU AI Act 歐盟(法規) 2024/08 生效 在歐盟運營的所有 AI 開發者 法律監管要求 合規義務、高風險 AI 系統審查
生態位分析:OWASP LLM Top 10 的獨特優勢
在這些框架中,OWASP LLM Top 10 的競爭優勢在幾個維度非常清晰:
第一,格式的勝利。「十大清單」是一種極其有效的傳播格式。它簡單、可記憶、可引用,天然適合在演講、博客、培訓材料和管理層報告中使用。MITRE ATLAS 的 84 個技術和 NIST AI RMF 的 1,000+ 個控制項在傳播效率上完全無法與之競爭。
第二,時機的勝利。OWASP LLM Top 10 在 LLM 應用安全意識剛開始形成的窗口期(2023 年夏)以完整成熟的形式出現,成功佔據了第一印象的位置。先入為主的效應在框架採用中極為重要——當工程師第一次搜尋「LLM 安全怎麼做」並找到 OWASP LLM Top 10,之後他們就會默認以它為基準。
第三,社群的勝利。OWASP 的開源社群模式讓它的更新週期比 MITRE 或 NIST 更靈活,能更快響應技術演變。2025 版在 RAG 普及後快速加入「向量與嵌入弱點」,就是這種靈活性的體現。而 NIST AI RMF 1.0 到可能的更新版本,週期以年為單位。
第四,實用主義的勝利。OWASP LLM Top 10 始終優先考慮「對開發者直接有用」,每個條目都配有具體的攻擊場景範例和緩解措施。這種工程師友好的設計,是其他偏重治理或威脅分析的框架所缺乏的。
OWASP LLM Top 10 的短板
客觀來說,這個計畫也有被批評的地方:
學術嚴謹性的質疑。與 MITRE ATLAS 的數據驅動方法相比,OWASP LLM Top 10 的條目排序更多基於社群投票和專家意見,而非系統性的漏洞頻率數據。一些研究人員批評,「十大」的排名可能更反映的是「哪些風險最容易被記住和討論」,而非「哪些風險在現實中最常見或危害最大」。這是一個合理的批評,但目前還缺乏足夠的實際部署漏洞數據來做更精確的排名。
語言門檻。儘管有翻譯版本,原始文件仍以英文為主,部分社群的參與度不均衡。
廠商影響力的隱憂。隨著企業贊助計畫的規模化,部分社群成員表達了對計畫獨立性的擔憂。雖然官方立場是「贊助者不影響內容」,但當你的主要贊助商都是 AI 安全廠商時,這種隱性影響力很難完全排除。
過度倚重「應用層」安全。OWASP LLM Top 10 的視角主要集中在「LLM 應用的安全」,對 AI 系統整個生命週期(訓練、評估、部署、監控)的覆蓋不夠完整。這也是計畫後來推出補充指引文件的原因之一。
三、橫縱交匯
這個計畫的真實價值,在於它做到了大多數標準文件做不到的事
把縱向和橫向的分析放在一起看,一個核心問題浮現了:OWASP LLM Top 10 究竟贏在哪裡?
答案不是「它比競爭框架技術上更嚴謹」,也不是「它有政府的強制力支撐」,更不是「它解決了所有 AI 安全問題」。它贏在一個更基本的地方:它把一個混亂的領域,用一種所有人都能懂的語言描述了出來,並且在恰好的時機出現。
在 2023 年,LLM 應用安全是一個幾乎人人都感到不知所措的領域。攻擊者知道的比防守者多,安全工程師學的框架不適用,管理層不知道該問什麼問題。OWASP LLM Top 10 的出現,本質上是一次命名行動——它給那些模糊的、令人擔憂的問題起了名字:「提示注入」、「過度授權」、「系統提示洩露」。
命名的力量不應被低估。當你能說「我們的系統存在 LLM06 過度授權問題」,這句話就可以被追蹤、被分配、被修復、被審計。在命名之前,這只是「感覺有什麼地方不安全但說不清楚」。
OWASP LLM Top 10 目前的戰略位置
今天(2026 年 4 月),OWASP LLM Top 10 在 AI 安全生態中的位置,類似於它的前身 OWASP Top 10 for Web Applications 在 Web 安全生態中的地位:不是唯一的框架,不是最嚴謹的框架,但是最廣為人知、最廣泛使用的基準。
這個地位帶來的好處是多方面的:
- 培訓市場以它為中心建立內容
- 招聘面試把它作為資安知識的基準測驗
- 採購問卷把它作為供應商評估的基線
- 監管機構在制定 AI 安全要求時參照它
在 2026 年的今天,OWASP GenAI Security Project 已經顯著超越了「LLM Top 10 清單」這個起點,演化為一個多面向的 AI 安全生態系統,涵蓋:LLM Top 10、Agentic Top 10、AI 安全解決方案全景圖、AI 紅隊指引、治理清單、以及多個行業特定指南。這種擴展是必要的,也是正確的——但它也帶來了一個新的挑戰:如何在擴張中保持核心清單的簡潔性和易用性,這是讓 OWASP LLM Top 10 最初成功的關鍵所在。
未來走向的判斷
基於縱向的發展脈絡和橫向的競爭格局,以下是對 OWASP LLM Top 10(及更廣義的 OWASP GenAI Security Project)未來走向的判斷:
機會一:Agentic AI 的安全需求爆發。2025–2026 年是 AI Agent 大規模落地的關鍵時期。OWASP 已經先手推出了 Agentic Top 10,如果能在 2026 版本中進一步完善,它有機會在這個新方向重演 2023 年的「命名勝利」。這是最大的增長機會。
機會二:監管驅動的合規市場。EU AI Act、美國的 AI 行政命令、以及各國政府的 AI 監管框架,正在把 AI 安全從「最佳實踐」升格為「法律義務」。OWASP 清單如果能進一步明確它與這些法規要求的對應關係(mapping),將獲得大量「合規驅動採用」的組織。
機會三:開發工具整合。CI/CD 管道中的安全掃描工具(如 Snyk、SonarQube)已開始整合 OWASP LLM Top 10 的規則。如果這種整合進一步深化,OWASP 清單將從「需要主動查閱的文件」變成「自動出現在開發流程中的提示」,大幅降低採用門檻。
風險一:更新速度 vs. 技術演化速度。AI 技術的演化速度前所未有。如果 OWASP 的更新週期跟不上新型攻擊手法的出現速度,它的內容就會顯得過時,可信度下降。2026 版的更新能否及時、全面地覆蓋 Agentic 安全和多模態 LLM 的新威脅,將是一個關鍵測試。
風險二:商業化侵蝕獨立性。隨著計畫的影響力增長,商業利益的滲透也在加深。如何在維持商業可持續性的同時保護計畫的獨立性和公信力,是一個長期的組織治理挑戰。過去幾年還沒有重大事件動搖這個計畫的中立性,但隨著賭注越來越大,這個問題只會變得更加複雜。
風險三:碎片化與版本混亂。LLM Top 10、Agentic Top 10、AI Security Landscape、Governance Checklist……計畫的產出越來越多,如果沒有清晰的版本關係和使用者導覽,可能造成「從業者不知道應該參考哪份文件」的困惑,反而稀釋了核心清單的聚焦效應。
一個更深層的思考:這個計畫的天花板
最後,有一個值得思考的問題:OWASP LLM Top 10 的長期天花板是什麼?
Web 安全的 OWASP Top 10 已經存在二十多年,它的成功在於 Web 技術雖然不斷演化,但其核心架構(HTTP、HTML、JavaScript、SQL)的本質相對穩定,因此每隔幾年更新一版,就能保持相關性。
LLM 和 AI 技術的演化速度遠快於 Web 技術。Agentic AI、多模態模型、模型蒸餾、on-device AI——這些方向的發展,每一個都可能帶來全新的攻擊面和防禦範式。一份每年更新一次的十大清單,能否跟上?
或許,更重要的問題不是「OWASP LLM Top 10 能活多久」,而是「它能否演化成一個足夠靈活的知識生產機制,讓社群快速將新威脅轉化為可操作的安全指引」。換句話說,它的競爭優勢不在於那份清單本身,而在於那個能夠快速響應技術變化的全球安全社群。只要這個社群保持活躍、多元和中立,OWASP 對 AI 安全議題的影響力就不會輕易消散。
結語
OWASP LLM Top 10 的故事,是一個關於「正確的人在正確的時機做了正確的事」的故事。Steve Wilson 在 LinkedIn 上的那個問題,不只是引發了一份文件,而是引發了一個生態系的誕生。
從 2023 年 5 月的一個 LinkedIn 貼文,到 2026 年擁有 25,000 名社群成員、被全球企業和監管機構廣泛引用的旗艦計畫——這個計畫在三年內走完了許多標準組織十年才能走完的路。
這個速度不只是 Steve Wilson 和核心團隊的功勞,也是整個產業在 AI 爆炸時代渴求秩序的集體寫照。在技術以指數速度演化、威脅以我們還未完全理解的方式涌現的當下,像 OWASP LLM Top 10 這樣的社群框架——不完美、不完整、但快速、實用、開放——或許正是我們在這個時代所能期望的最好答案。
本報告基於公開資料撰寫,所有數字和事件均已盡力核實,但部分早期歷史(如確切日期)在不同來源間存在輕微差異。報告中明確標注的「推測」部分,代表作者的判斷,不代表已確認的事實。
主要參考來源:OWASP 官網(owasp.org 及 genai.owasp.org)、GitHub 儲存庫、Steve Wilson 的 LinkedIn 及公開演講、MITRE ATLAS 官網(atlas.mitre.org)、NIST AI RMF 文件、相關資安媒體報導(包括 SC Media、Qualys Blog、Lasso Security Blog 等)。
