Когда OWASP перетасовывает свой список рисков - это не бюрократическая перенумерация. Это карта мест, где индустрия пропустила удар. Версия 2025 списка OWASP Top 10 для LLM (финализирована в конце 2024) говорит прямо: RAG-пайплайны стали стандартом, агентные архитектуры набрали массу, а утечки системных промптов перестали быть курьёзом - теперь это самостоятельный класс уязвимостей. Три категории выбыли, три появились, а оставшиеся перетасованы так, что привычные приоритеты red team оценки LLM-продуктов пора пересматривать.

Это не пересказ документа. Это diff между версиями 1.1 (2023) и 2025 - с привязкой к MITRE ATT&CK, конкретными attack scenarios и чеклистом для пентестера, который завтра пойдёт ломать корпоративного AI-ассистента.
Сводная таблица: OWASP LLM 2023 vs 2025
Прежде чем копать в каждое изменение - полная картина. Ни один русскоязычный ресурс не даёт эту таблицу в формате, удобном для red team планирования.

ПозицияOWASP LLM v1.1 (2023)OWASP LLM 2025ID 2025Статус1Prompt InjectionPrompt InjectionLLM01:2025Без изменений2Insecure Output HandlingSensitive Information DisclosureLLM02:2025Поднялся с #63Training Data PoisoningSupply ChainLLM03:2025Поднялся с #54Model Denial of ServiceData and Model PoisoningLLM04:2025Расширен, был #35Supply Chain VulnerabilitiesImproper Output HandlingLLM05:2025Переименован, был #26Sensitive Information DisclosureExcessive AgencyLLM06:2025Был #87Insecure Plugin DesignSystem Prompt LeakageLLM07:2025Новая категория8Excessive AgencyVector and Embedding WeaknessesLLM08:2025Новая категория9OverrelianceMisinformationLLM09 :2025Замена10Model TheftUnbounded ConsumptionLLM10:2025Замена

Полностью выбыли: Insecure Plugin Design, Overreliance и Model Theft. Вместо них - System Prompt Leakage, Vector and Embedding Weaknesses и Misinformation. Но не менее интересно, как перетасованы позиции оставшихся - за этим стоят реальные инциденты 2023-2024 годов.
Три новые категории уязвимостей LLM приложений
System Prompt Leakage (LLM07:2025)
Для пентестера это самая практически полезная новинка. В 2023 году утечка системного промпта была побочным эффектом prompt injection - теперь OWASP выделила её в отдельный класс. И правильно сделала.

Точкой перелома стал инцидент с Bing Chat «Sydney» в 2023 году (по данным Giskard): пользователи через специально сформированные запросы заставили модель выплюнуть полные инструкции, определяющие её поведение. Сообщество Elder Plinius пошло дальше - формализовало процесс сбора и публикации утёкших системных промптов от крупнейших провайдеров.

Что именно утекает и почему атакующему это на руку:

• Credentials и API-ключи, захардкоженные в промпте - прямой credential access. По MITRE ATT&CK ближайший аналог - Unsecured Credentials (T1552), а для LLM-специфичных атак точнее подходит MITRE ATLAS (AML.T0051 LLM Prompt Injection).
  
• Правила фильтрации и content policy - зная ограничения, можно точечно обходить именно те guardrails, которые установлены.
  
• Внутренняя бизнес-логика - какие API вызывает агент, какие роли и permissions зашиты в промпте.

Типичный сценарий: запрос вида
или
может сработать на плохо защищённых системах. Более хитрый подход - многоходовая беседа, где модель постепенно раскрывает фрагменты инструкций через паттерны взаимодействия, даже без прямого «слива». Для автоматизации таких тестов подходит Garak - у него есть модуль для system prompt extraction.

Ограничение техники: защита через instruction hierarchy (system-level vs user-level priority в GPT-4) существенно снижает эффективность прямых запросов. Но indirect-каналы - через манипуляцию форматом вывода, запрос «перевести инструкции на другой язык» или обращение к модели как к «техническому документатору» - работают заметно чаще. Я чаще всего добиваюсь результата именно через смену «роли» модели в диалоге.
Vector and Embedding Weaknesses (LLM08:2025)
Эта категория - прямое следствие массового внедрения RAG-архитектур. RAG стал центральным компонентом продакшн-развёртывания LLM (по данным Giskard), но одновременно создал совершенно новую поверхность атаки.

С позиции атакующего здесь три вектора:

Отравление векторной базы. Если есть доступ к источникам данных, которые индексируются RAG-пайплайном (корпоративная wiki, Confluence, shared drive), можно внедрить документ с indirect prompt injection. При поиске по релевантному запросу модель вытащит отравленный фрагмент и выполнит встроенные инструкции. По MITRE ATT&CK это пересекается с Stored Data Manipulation (T1565.001, Impact) - только вместо обычной БД целью становится векторное хранилище (Chroma, Weaviate, Pinecone).

Манипуляция доступом к векторной БД. Многие развёртывания используют векторные базы без адекватной авторизации. Если Chroma или Weaviate торчат в сеть без аутентификации - атакующий может напрямую писать embedding-и, читать чужие данные или манипулировать метаданными фильтрации. Чтение чужих данных ближе к Data from Information Repositories (T1213, Collection), а запись/отравление - к Stored Data Manipulation (T1565.001, Impact). На практике я не раз видел Weaviate с дефолтным конфигом, открытым на весь internal network.

Инверсия embedding-ов. Пока скорее теоретическая, но набирающая зрелость атака: реконструкция исходного текста из векторного представления. Для моделей с относительно низкой размерностью эмбеддингов это уже практически реализуемо.
Misinformation (LLM09:2025) - замена Overreliance
OWASP заменила размытую категорию «Overreliance» на конкретную - безопасность ИИ приложений теперь включает галлюцинации как самостоятельный risk, а не проблему пользовательского поведения. По данным Giskard, суть переосмысления: LLM-галлюцинации - это security risk, а не quality issue.

Для пентестера это новый класс тестов: можно ли заставить модель генерировать убедительную дезинформацию, которая повлияет на бизнес-решения? Если AI-ассистент уверенно выдаёт несуществующие юридические нормы или фабрикует данные отчётов - это эксплуатируемая уязвимость, а не «особенность технологии». Ответственность переложена с пользователя на систему, и это принципиальный сдвиг.



Ключевые перестановки: что подросло в OWASP LLM 2025
Sensitive Information Disclosure - скачок с #6 на #2
Самое резкое перемещение в списке. По данным DeepTeam и Qualys, причина - реальные инциденты утечки данных через LLM-приложения в 2023-2024 годах. Категория теперь явно включает утечку PII, интеллектуальной собственности, credentials и API-ключей.

Что изменилось на практике: в 2023 году тестирование утечки чувствительных данных было «одним из» тестов. В 2025 - это приоритет номер два после prompt injection. Конкретный сценарий: если модель обучена дополнительно на корпоративных данных, запросы вида «приведи пример из обучающей выборки» или side-channel extraction через серию специально подобранных запросов могут вытащить фрагменты тренировочных данных. Утечки из крупных баз вроде LinkedIn (164 млн записей, по данным Have I Been Pwned) показывают масштаб - когда такие данные попадают в training pipeline, модель становится вектором вторичной утечки.
Data and Model Poisoning - расширенный scope
В 2023 году категория называлась «Training Data Poisoning» и покрывала только отравление данных предварительного обучения. Версия 2025 расширяет охват:

• Fine-tuning poisoning - компрометация данных при дообучении на специализированных задачах
  
• RAG poisoning - внедрение вредоносных документов в knowledge base (пересекается с LLM08)
  
• Embedding poisoning - corrupted векторные представления

По данным Giskard, фокус безопасности больших языковых моделей сместился с обучающих сред на продакшн-окружения - приоритет теперь на обнаружении отравления в работающих системах, а не только при тренировке. По MITRE ATT&CK это пересекается с Stored Data Manipulation (T1565.001, Impact) - атакующий модифицирует данные, чтобы влиять на поведение системы.
Unbounded Consumption - от DoS к Denial of Wallet
Категория «Model Denial of Service» из 2023 года была слишком узкой. Версия 2025 расширяет её под названием «Unbounded Consumption»:

• Denial of Wallet - атаки, целенаправленно раздувающие вычислительные расходы жертвы. При облачном развёртывании один агрессивный пользователь может сгенерировать счёт на тысячи долларов через сложные запросы или рекурсивные reasoning-циклы.
  
• Ресурсозатратные reasoning-петли - плохо спроектированные агентные архитектуры уходят в бесконечный цикл, пожирая GPU-время.

По MITRE ATT&CK ближе всего к Compute Hijacking (T1496.001, Impact) - несанкционированное использование вычислительных ресурсов. Хотя в контексте LLM модель оплаты через API делает атаку финансовой, а не инфраструктурной. Система формально работает, но кошелёк заказчика - нет.
Что удалили из списка и почему это важно для пентестера
Три категории покинули OWASP Top 10 для LLM 2025, и каждое удаление несёт информацию.

Insecure Plugin Design (был #7 в 2023). Концепция LLM-плагинов образца 2023 года (ChatGPT Plugins, LangChain Tools) эволюционировала в агентные архитектуры. Риски не исчезли - они распределились между Excessive Agency (LLM06), Supply Chain (LLM03) и Improper Output Handling (LLM05). Для пентестера вывод: тестируйте tool-calling и function-calling интерфейсы агентов по тем же паттернам, что раньше применяли к плагинам, но проверяйте в контексте нескольких категорий.

Model Theft (был #10 в 2023). Удаление не означает, что кража моделей перестала быть проблемой. OWASP решила, что это инфраструктурный риск, покрываемый общими практиками безопасности, а не специфичный для LLM-приложений. При этом model extraction через API (серия запросов для реконструкции поведения модели) остаётся валидным тестом - просто теперь это не в Top 10.

Overreliance (был #9 в 2023). Замена на Misinformation показывает сдвиг фокуса: проблема не в том, что пользователь «слишком доверяет», а в том, что модель генерирует убедительную ложь.
OWASP LLM 2025 и MITRE ATT&CK: маппинг для red team
Ни один русскоязычный материал не связывает OWASP LLM категории с MITRE ATT&CK. Вот маппинг ключевых категорий:

OWASP LLM 2025MITRE ATT&CK техникаТактикаLLM01 Prompt InjectionExploit Public-Facing Application (T1190)Initial AccessLLM02 Sensitive Info DisclosureUnsecured Credentials (T1552) / MITRE ATLAS AML.T0057Credential AccessLLM03 Supply ChainSupply Chain Compromise: Compromise Software Supply Chain (T1195.002)Initial AccessLLM04 Data/Model PoisoningStored Data Manipulation (T1565.001)ImpactLLM07 System Prompt LeakageUnsecured Credentials (T1552) / MITRE ATLAS AML.T0051Credential AccessLLM08 Vector/Embedding WeaknessesData from Information Repositories (T1213) / Stored Data Manipulation (T1565.001)Collection / ImpactLLM10 Unbounded ConsumptionCompute Hijacking (T1496.001)Impact

Маппинг не один-к-одному - LLM-специфичные атаки часто пересекают несколько тактик ATT&CK. Для AI/ML-систем стоит также использовать MITRE ATLAS (atlas.mitre.org) - специализированный фреймворк с техниками вроде AML.T0051 (LLM Prompt Injection) и AML.T0057 (LLM Data Leakage). Но эта таблица даёт red team отправную точку для структурирования отчёта в формате, понятном заказчику, привыкшему к MITRE.



Практический чеклист red team оценки LLM-продукта по OWASP 2025
Требования к окружению

• ОС: любая с Python 3.10+
  
• Инструменты: Burp Suite для перехвата API-запросов, Garak (актуальная версия из pip) для автоматизированного fuzzing,
  
  Код:

  curl

  /
  
  Код:

  httpie

  для ручных проверок
  
• Доступ: API-endpoint тестируемого LLM-продукта, документация по доступным function calls / tool use (если есть)
  
• Сетевые условия: доступ к API-эндпоинтам тестируемого приложения, опционально - к векторной БД для тестов LLM08

Порядок тестирования по приоритету OWASP 2025:

Шаг 1: Prompt Injection (LLM01). Начинаем с базовых direct injection payload-ов через Burp Suite, перехватывая запросы к LLM API. Проверяем обработку многоязычных payload-ов - переключение на язык, отличный от основного, часто обходит фильтры. Затем indirect injection: если приложение обрабатывает внешние документы (PDF, email, URL) - внедряем инструкции в эти источники.

Шаг 2: System Prompt Leakage (LLM07). Серия запросов на извлечение системного промпта: прямые (
), через ролевую игру (
), через формат (
). Запускаем
для проверки leakage-сценариев, или
для попыток обхода фильтров через кодировки (Base64, ROT13) при extraction-запросах.

Шаг 3: Sensitive Information Disclosure (LLM02). Тестируем extraction тренировочных данных через completion-запросы. Проверяем, отдаёт ли модель PII, API-ключи, внутренние URL при контекстно-релевантных запросах.

Шаг 4: Vector/Embedding Weaknesses (LLM08). Если доступна векторная БД - проверяем аутентификацию. Пробуем записать документ с indirect injection в индексируемый источник и смотрим, извлекает ли RAG-пайплайн вредоносный контент.

Шаг 5: Unbounded Consumption (LLM10). Отправляем запросы, провоцирующие длинные reasoning-цепочки. Проверяем наличие rate limiting через
и фиксируем, когда (и если) приложение начнёт троттлить.

Минимальный пример payload-а для тестирования indirect prompt injection через RAG (концепция):

Код:


Такой текст размещается в документе, который будет проиндексирован RAG-пайплайном. Если модель обрабатывает его без санитизации контента - вложенная инструкция может выполниться при следующем пользовательском запросе по теме документа.
Что это значит для безопасности LLM приложений в 2025 году
OWASP Top 10 LLM изменения 2025 года показывают три тренда, которые меняют подход к red team оценке:

RAG - новый периметр. Две из трёх новых категорий (LLM07 и LLM08) прямо или косвенно связаны с RAG-архитектурами. Тестируете LLM-продукт и не проверяете векторную базу? Вы покрываете меньше половины актуальной поверхности атаки.

Агентность - мультипликатор рисков. Расширение Excessive Agency и появление Unbounded Consumption отражают реальность: LLM-агенты с доступом к инструментам превращают prompt injection из информационной утечки в полноценный remote code execution. Тестируйте не только саму модель, но и каждый tool/function call, к которому она имеет доступ.

Финансовый вектор. Denial of Wallet - атака, которую легко пропустить при пентесте, потому что система формально работает. Но если один запрос генерирует счёт на $50 в API-токенах, а rate limiting отсутствует - это эксплуатируемая уязвимость. Проверяйте.

Для тех, кто хочет копнуть глубже в практику тестирования LLM-приложений с использованием перечисленных методик, на античат есть курсы по наступательной безопасности, где рассматриваются в том числе современные методы adversarial-атак на AI-системы.
Вопрос к читателям
При тестировании RAG-пайплайнов на Vector and Embedding Weaknesses (LLM08:2025) - какой вектор отравления показывает лучшие результаты на практике: indirect prompt injection через индексируемый документ в Confluence/SharePoint, или прямая запись embedding-ов в Chroma/Weaviate через неаутентифицированный API? Поделитесь конкретным payload-ом и версией векторной БД, на которой он сработал.