主要观点：OWASP 发布了针对大型语言模型（LLM）应用的新“十大”列表，传统 web 安全扫描工具无法检测 LLM 引入的新漏洞，需采取实际步骤应对，包括在 LLM DevSecOps 管道强化、确保生产中的代理式 AI 安全、精细调整和数据隐私等方面。
关键信息：

• OWASP 新发布的 LLM 十大列表包含 10 个方面，如 LLM01：2025 提示注入等。
• LLM 安全挑战独特在于通过近似概率分布训练，虽有强大生成能力但易产生不可预测或恶意行为。
• LLM 安全用例有强化 LLM DevSecOps 管道（如自动化提示测试等）、确保生产中代理式 AI 安全（如最小特权凭证等）、精细调整和数据隐私（如安全 MLOps 等）。
  重要细节：
• 自动化提示测试是将提示和响应视为单元测试，集成到 CI 管道；模型漂移检测通过 ML 或规则方法跟踪模型输出变化；运行时策略执行通过安全代理层拦截输出。
• 最小特权凭证限制 AI 代理权限，使用临时凭证；行为监视器跟踪代理行为，利用事件驱动架构；紧急停止机制可手动或自动停止恶意活动。
• 安全 MLOps 加密训练数据等，微分隐私添加噪声防止数据泄露，通过版本控制和模型指纹追踪异常。
  示例场景：如 e-commerce 平台的 LLM 聊天机器人在部署时进行提示注入测试等；营销 AI 代理的异常行为被行为监视器和紧急停止机制处理；fintech 公司通过微分隐私和模型指纹处理精细调整数据。