📄 中文摘要
2024年底,OWASP针对LLM应用的前十名进行了重大修订。2025年版本(v2.0)删除了两个类别,新增了两个类别,并重新框定了整个列表,以反映LLM如今作为具有API访问权限的自主代理的实际部署方式,而不仅仅是回答问题的聊天机器人。在过去一年中,作者对LLM驱动的应用进行了测试,并提供了一个实用指南,涵盖每个OWASP类别与实际测试内容的对应关系、所使用的工具以及展示每个类别重要性的真实漏洞实例。
LLM 应用的 OWASP 前十 — 渗透测试者的实用指南
出处: The OWASP Top 10 for LLMs — A Pentester's Practical Guide
发布: 2026年2月13日
📄 English Summary
The OWASP Top 10 for LLMs — A Pentester's Practical Guide
The OWASP Top 10 for LLM applications underwent a significant overhaul in late 2024. The 2025 version (v2.0) removed two categories, added two new ones, and reframed the entire list to reflect how LLMs are deployed today as autonomous agents with API access, rather than just chatbots answering questions. Over the past year, the author has been testing LLM-powered applications and provides a practical guide that maps each OWASP category to what is actually tested, the tools used, and real vulnerabilities that illustrate the importance of each category.