Preskočiť na obsah
16.1Pokročilý7 min

OWASP LLM Top 10 (2025) vysvetlené: Desať bezpečnostných rizík pre LLM aplikácie

Blck Alpaca·
Definition

OWASP LLM Top 10 (2025) je desať najzávažnejších bezpečnostných rizík pre aplikácie s veľkými jazykovými modelmi, vydaných projektom OWASP GenAI Security Project. Siahajú od Prompt Injection cez Sensitive Information Disclosure až po Unbounded Consumption a tvoria referenciu pre zabezpečenie LLM a systémov KI agentov.

Key Takeaways

  • OWASP LLM Top 10 (2025) bol zverejnený projektom OWASP GenAI Security Project a nahrádza zoznam z rokov 2023/24; platí pre každú GenAI aplikáciu od chatbota cez RAG až po KI agenta.
  • LLM01 Prompt Injection je najzávažnejšie jednotlivé riziko; prvým reálnym Zero-Click prípadom bol EchoLeak (CVE-2025-32711, CVSS 9.3) v Microsoft 365 Copilot, ktorý v júni 2025 odhalili Aim Labs.
  • Tri záznamy sú v roku 2025 nové alebo výrazne rozšírené: LLM07 System Prompt Leakage, LLM08 Vector and Embedding Weaknesses a LLM10 Unbounded Consumption (Denial-of-Wallet).
  • LLM06 Excessive Agency je koncepčným mostom k bezpečnosti agentov: leží priamo pred viacerými rizikami agentov z OWASP Agentic Top 10 (2026).
  • Kto prevádzkuje KI agentov, pokrýva s LLM Top 10 len základ. Autonómia, používanie nástrojov a perzistentná pamäť rozširujú útočnú plochu a navyše si vyžadujú OWASP Agentic Top 10 (ASI01–ASI10).
  • Guardrails nie sú všeliek: EchoLeak obišiel Microsoftov XPIA klasifikátor. Účinná ochrana potrebuje viacvrstvovú obranu z input filtra, scope enforcement, output filtra a monitorovania správania.

OWASP LLM Top 10 (2025) je desať najzávažnejších bezpečnostných rizík pre aplikácie s veľkými jazykovými modelmi, vydaných projektom OWASP GenAI Security Project. Siahajú od Prompt Injection cez Sensitive Information Disclosure až po Unbounded Consumption a tvoria referenciu, podľa ktorej by mali bezpečnostné tímy v regióne DACH merať každú LLM a KI agentskú architektúru.

  • Čo to je? Najpoužívanejší konsenzuálny zoznam najzávažnejších bezpečnostných rizík LLM, platný pre chatboty, RAG systémy, copiloty a agentov.
  • Kto za tým stojí? Projekt OWASP GenAI Security Project (predtým OWASP Top 10 for LLM Applications, domovská stránka projektu genai.owasp.org). Edícia 2025 nahrádza zoznam z rokov 2023/24.
  • Prečo je to relevantné práve teraz? Kto nasadzuje KI agentov, pokrýva tým len základ. Pre autonómne systémy využívajúce nástroje existuje od 9. decembra 2025 navyše OWASP Agentic Top 10 (ASI01–ASI10).

Zaradenie: Ktorý OWASP zoznam je ktorý?

OWASP medzitým publikuje celú rodinu prekrývajúcich sa artefaktov bezpečnosti KI, ktoré si tímy zaoberajúce sa obstarávaním, auditom a rizikami v praxi pravidelne zamieňajú. Pre rozhodovateľov v B2B sektore DACH je rozlíšenie kľúčové:

  • OWASP Top 10 for Large Language Model Applications 2025 (LLM01:2025 – LLM10:2025): Tu spracovaný zoznam. Adresuje riziká na úrovni modelu a aplikácie v každej GenAI/LLM aplikácii. Je to referencia, ktorú väčšina bezpečnostných tímov v regióne DACH už pozná.
  • OWASP Top 10 for Agentic Applications 2026 (ASI01 – ASI10): Zverejnený tým istým projektom 9. decembra 2025, vyvinutý v rámci iniciatívy Agentic Security Initiative. Adresuje riziká z autonómie, integrácie nástrojov a koordinácie viacerých agentov.
  • OWASP AI Exchange, AI Security and Privacy Guide, MCP Top 10, AIVSS: Doplnkové stavebné prvky (vedomostná báza, úroveň protokolu, hodnotiaci systém), ktoré zoznamy Top 10 sprevádzajú, ale nenahrádzajú.

Dôležité: LLM Top 10 stavajú na klasických štandardoch Application Security, ako sú OWASP ASVS a API Security Top 10, nie na ich miesto. LLM aplikácia naďalej potrebuje autentifikáciu, správu relácií, validáciu vstupu a kryptohygiénu. Pokušenie zaobchádzať s bezpečnosťou KI ako so samostatným silom je jednou z najčastejších koncepčných chýb.

Prehľad desiatich rizík

Nasledujúca tabuľka zhŕňa všetkých desať záznamov s krátkym opisom a centrálnym protiopatrením.

Riziko (2025)

Krátky opis

Protiopatrenie

LLM01 Prompt Injection

Priame a nepriame podstrčenie inštrukcií do LLM vstupu, ktoré prepíše zamýšľané správanie. Najzávažnejšie jednotlivé riziko.

Externé obsahy považovať za nedôveryhodné, oddelenie kanála inštrukcií a dát, input/output filtre, riadenie prístupu založené na provenancii.

LLM02 Sensitive Information Disclosure

Prezradenie PII, duševného vlastníctva, obchodných tajomstiev, system promptov a embeddingov vo výstupoch LLM; zahŕňa PII inverziu a extrakciu embeddingov.

Čistenie dát, output filtering, integrácia DLP.

LLM03 Supply Chain

Kompromitácia základných modelov, doladených váh, trénovacích dát, registrov modelov a závislostí. Staticky, teda v čase buildu.

Pinovanie závislostí, kontrola provenancie, skenovanie pred nasadením, SBOM/AIBOM.

LLM04 Data and Model Poisoning

Manipulované trénovacie, fine-tuningové alebo RAG dáta, ktoré model skresľujú alebo doň vkladajú skryté backdoory; vrátane backdoored open-source modelov.

Kontrola kvality a pôvodu dát, hodnotenie dôveryhodnosti zdrojov, validácia pred embeddingom.

LLM05 Improper Output Handling

Nadväzujúce systémy považujú LLM výstup za dôveryhodný vstup; XSS, SQLi, SSRF, command injection cez výstup modelu.

Výstup striktne validovať a kódovať, výstup nikdy nespúšťať bez kontroly ako kód/query.

LLM06 Excessive Agency

LLM dostávajú nekontrolovanú moc konať pri nedostatočnom obmedzení práv alebo ľudskom dohľade. V roku 2025 rozšírené pre agentské architektúry.

Least-Privilege na každý nástroj, explicitné rozsahy oprávnení, Human-in-the-Loop pre kritické akcie.

LLM07 System Prompt Leakage

Obsahy system promptu, ktoré boli považované za súkromné, sú odhalené cez probing.

Neukladať tajomstvá do system promptu; nezakladať bezpečnosť na dôvernosti promptu.

LLM08 Vector and Embedding Weaknesses

Špecifické pre RAG: podstrčenie škodlivých dát do vektorového úložiska, embedding poisoning, úniky embeddingov medzi mandantmi. Nové v roku 2025.

Riadenie prístupu k vektorovému úložisku, izolácia mandantov, validácia obsahu pred embeddingom.

LLM09 Misinformation

Sebavedomo formulované nepravdivé obsahy z halucinácií alebo skreslených trénovacích dát.

Uzemnenie cez dôveryhodné zdroje, overovanie faktov, označenie neistoty.

LLM10 Unbounded Consumption

Vyčerpanie zdrojov a nákladov (Denial-of-Wallet). V roku 2025 rozšírené zo záznamu DoS z roku 2023.

Tvrdé stropy nákladov s circuit-breakermi, rate-limity na používateľa/mandanta/agenta, detekcia anomálií tokenov.

Tri záznamy sú v roku 2025 nové alebo výrazne zmenené

Oproti predchádzajúcemu zoznamu OWASP edíciu 2025 citeľne prispôsobil aktuálnym architektúram. Tri body si zaslúžia osobitnú pozornosť:

  • LLM07 System Prompt Leakage bol prevzatý ako samostatný záznam, pretože reálne exploity ukázali, že údajne súkromné system prompty sú extrahovateľné cez cielený probing. Ponaučenie: System prompt nie je trezor. Tajomstvá, prístupové údaje alebo bezpečnostná logika doň nepatria.
  • LLM08 Vector and Embedding Weaknesses je nový a zohľadňuje RAG boom. Škodlivé dáta vo vektorových úložiskách, embedding poisoning a úniky embeddingov medzi mandantmi sú reálne riziká, hneď ako viacerí zákazníci zdieľajú ten istý vektorový index.
  • LLM10 Unbounded Consumption rozširuje starý bod Denial-of-Service o nákladový rozmer (Denial-of-Wallet). Pri agentoch je zosilnenie obzvlášť kritické, pretože viacstupňové plány znásobujú spotrebu tokenov.

Vzťah ku KI agentom: LLM06 ako most

Pre agentúry a B2B rozhodovateľov je najdôležitejším koncepčným poznatkom: LLM Top 10 boli napísané pre systémy, ktoré v jadre odpovedajú. Prompt príde dnu, completion ide von, prípadne uzemnený cez RAG. Agentské systémy naopak plánujú, usudzujú, vyberajú nástroje, zapisujú do pamäte a konajú s minimálnym ľudským schválením na každý krok.

OWASP to formuluje takto (parafrázovane, Sotiropoulos et al., 9. decembra 2025): Agentské systémy dedia všetky LLM riziká a zavádzajú úplne nové triedy zraniteľností z autonómie, integrácie nástrojov, koordinácie viacerých agentov a perzistentného stavu. Mostom medzi oboma svetmi je LLM06 Excessive Agency, ktoré bolo v roku 2025 explicitne rozšírené pre agentské architektúry a leží priamo pred viacerými rizikami agentov (ASI02, ASI03, ASI10).

Open-source red-teamingový framework DeepTeam, ktorý zobrazuje oba zoznamy, opisuje efekt zosilnenia výstižne: ASI01 (Agent Goal Hijack) zodpovedá LLM01 (Prompt Injection) krát LLM06 (Excessive Agency), ale s viacstupňovým vykonaním, ktoré škodu zväčšuje nad rámec jedinej odpovede. Tri agentské riziká (ASI07 Insecure Inter-Agent Communication, ASI08 Cascading Failures, ASI10 Rogue Agents) nemajú vôbec žiadny ekvivalent v LLM Top 10. Kto teda číta len LLM Top 10, systematicky podceňuje agentské riziko.

Konkrétny príklad: EchoLeak (CVE-2025-32711)

Ako ďaleko siaha Prompt Injection v produkčných systémoch, ukazuje EchoLeak, prvý reálne dokumentovaný Zero-Click prípad v produkčnom LLM systéme. V júni 2025 Aim Labs odhalili zraniteľnosť v Microsoft 365 Copilot (CVE-2025-32711, CVSS 9.3, dokumentované v arXiv 2509.10540, Reddy et al., september 2025).

Priebeh v pseudokrokoch:

```

  1. Útočník pošle obeti jediný pripravený e-mail.
  2. Skryté inštrukcie obídu Microsoftov XPIA klasifikátor
    (Cross-Prompt Injection Attempt).
  3. Redakcia odkazov sa obíde cez reference-style Markdown.
  4. Automaticky načítané obrázky + Microsoft Teams proxy povolený cez CSP
    exfiltrujú najcitlivejší obsah z kontextu Copilota.
  5. Nie je potrebný jediný klik používateľa (Zero-Click).
    ```

Aim Labs pre to razili pojem LLM Scope Violation. Microsoft patchol na strane servera bez zásahu zákazníkov. Centrálne ponaučenie pre rizikové komisie v regióne DACH: Aj zavedený klasifikátor poskytovateľa (XPIA) bol obídený. V sesterskom prípade CamoLeak (GitHub Copilot Chat, CVSS 9.6, odhalený v októbri 2025 Omerom Mayrazom/Legit Security po hlásení na HackerOne v júni 2025) bola ochrana CSP obídená cez vlastný GitHub Camo obrázkový proxy, aby sa znak po znaku odčerpali súkromné tajomstvá repozitárov; GitHub následne 14. augusta 2025 úplne deaktivoval renderovanie obrázkov v Copilot Chat.

Guardrails teda nie sú všeliek. Každý doteraz zverejnený mantinel bol kompetentnými výskumníkmi obídený do niekoľkých mesiacov po release. Účinná ochrana si vyžaduje viacvrstvovú obranu: filter na strane vstupu plus scope/provenance enforcement plus filter na strane výstupu plus monitorovanie správania. Vyhlásenia poskytovateľov ako náš mantinel blokuje 99,x percent Prompt Injections treba považovať za marketing, kým ich neoverí nezávislý red-team.

Detekcia a obrana v praxi

Defense-in-Depth znamená pre LLM aplikácie konkrétne:

  • Na strane vstupu: Externé obsahy (dokumenty, e-maily, RAG korpus, webové stránky, výstupy nástrojov) zásadne považovať za nedôveryhodné. Oddeliť kanál inštrukcií a dát. Nasadiť input filtre ako Llama Guard, Microsoft Prompt Shield, NVIDIA NeMo Guardrails alebo Lakera Guard (stav 2026).
  • Za behu: Riadenie prístupu založené na provenancii tak, aby obsah označený ako externý nemohol spustiť privilegovaný prístup k dátam. Obmedziť renderovanie Markdownu, zabrániť automatickému načítavaniu obrázkov.
  • Na strane výstupu: Výstup kontrolovať voči očakávaným vzorom a nikdy bez kontroly nespúšťať ako kód, SQL alebo HTML v nadväzujúcich systémoch (LLM05).
  • Prevádzka: Nepretržité red-teaming s Garak, PyRIT alebo DeepTeam. Tvrdé stropy nákladov a rate-limity proti Unbounded Consumption. Úplné forenzné logovanie.

K tomu patrí aj čestné zaradenie: Mantinely vytvárajú latenciu (typicky 100 až 500 milisekúnd na pravidlo v produkčnej prevádzke) a náklady (každé pravidlo je ďalšie inferenčné volanie). Vo viacjazyčných kontextoch DACH (zmiešané DE/FR/IT/EN) sú miery falošne pozitívnych výsledkov naďalej vysoké.

Pre agentúry a B2B

Marketingové agentúry a stredne veľké podniky v regióne DACH čoraz viac nasadzujú do produkcie copiloty podporované LLM, RAG asistentov a prvých agentov, často ako zakúpenú SaaS funkciu v Microsoft 365 Copilot, ChatGPT Enterprise, Claude for Work alebo Gemini for Workspace (stav 2026). Práve tu sú LLM01 (nepriama injection cez obsahy), LLM02 (prezradenie dát v zhrnutiach) a LLM06 (príliš široké práva nástrojov) realistickou útočnou plochou.

Tri upozornenia pre obstarávanie a governance: Po prvé, OWASP-konformný nie je spoľahlivé tvrdenie, keďže OWASP publikuje smernice a nie certifikácie. Po druhé, každý relevantný mantinel poskytovateľa by mal byť nastavený na najprísnejší stupeň a logy poskytovateľov exportované do SIEM. Po tretie platí: Kto plánuje agentov, musí okrem LLM Top 10 prečítať aj OWASP Agentic Top 10, inak zostáva rizikový model neúplný. Blck Alpaca z Viedne podporuje pri zaradení týchto rizík do kontextov EU AI Act, GDPR/DSGVO a ISO 42001 a pri výbere vhodných ochranných vrstiev. Zoznamy OWASP sa aktualizujú minimálne raz ročne; genai.owasp.org patrí ako záložka do každého rizikového procesu.

Často kladené otázky

Čo je OWASP LLM Top 10 (2025)?
OWASP LLM Top 10 (2025) je zoznam desiatich najzávažnejších bezpečnostných rizík pre aplikácie s veľkými jazykovými modelmi, vydaný projektom OWASP GenAI Security Project. Zahŕňa LLM01 Prompt Injection, LLM02 Sensitive Information Disclosure, LLM03 Supply Chain, LLM04 Data and Model Poisoning, LLM05 Improper Output Handling, LLM06 Excessive Agency, LLM07 System Prompt Leakage, LLM08 Vector and Embedding Weaknesses, LLM09 Misinformation a LLM10 Unbounded Consumption. Edícia 2025 nahrádza zoznam z rokov 2023/24.
V čom sa líši OWASP LLM Top 10 od OWASP Agentic Top 10?
LLM Top 10 (2025) opisuje riziká systémov, ktoré primárne odpovedajú: prompt dnu, completion von, prípadne uzemnené cez RAG. OWASP Agentic Top 10 (2026, ASI01–ASI10), zverejnený 9. decembra 2025, adresuje systémy, ktoré plánujú, vyberajú nástroje, zapisujú do pamäte a konajú. Agenti dedia všetky LLM riziká a dopĺňajú nové triedy z autonómie, integrácie nástrojov, koordinácie viacerých agentov a perzistentného stavu. Tri riziká agentov (ASI07, ASI08, ASI10) nemajú LLM ekvivalent.
Aký je rozdiel medzi LLM01 Prompt Injection a Jailbreakom?
Prompt Injection znamená, že podstrčené inštrukcie prepíšu alebo podkopú zamýšľané správanie LLM. Rozlišuje sa priama injection (v poli používateľského vstupu) a nepriama injection cez dokumenty, RAG korpus, webové stránky, e-maily alebo výstupy nástrojov. Jailbreak je špeciálna forma, ktorá obchádza bezpečnostné a politické mantinely modelu. V rámci MITRE ATLAS sú obe vedené oddelene: AML.T0051 (Prompt Injection) a AML.T0054 (Jailbreak).
Je LLM aplikácia s OWASP LLM Top 10 úplne zabezpečená?
Nie. LLM Top 10 stavia na klasických štandardoch Application Security, ako sú OWASP ASVS a API Security Top 10, ale nenahrádza ich. LLM aplikácia naďalej potrebuje autentifikáciu, správu relácií, validáciu vstupu a kryptohygiénu. Navyše OWASP-konformný nie je spoľahlivým certifikačným tvrdením: OWASP zverejňuje smernice, nie certifikácie. Poskytovateľ môže implementovať odporúčania OWASP, ale nemôže byť OWASP-certifikovaný.
Čo znamená LLM10 Unbounded Consumption?
LLM10 Unbounded Consumption opisuje útoky na zdroje a náklady, často označované ako Denial-of-Wallet. Záznam bol v roku 2025 rozšírený z predchádzajúceho bodu Denial-of-Service z roku 2023. Pri agentoch je zosilnenie nákladov obzvlášť závažné, pretože viacstupňové plány znásobujú spotrebu tokenov. Protiopatreniami sú tvrdé stropy nákladov s circuit-breakermi, rate-limity na používateľa, mandanta a agenta, ako aj detekcia anomálií na časových radoch tokenov.

Ísť hlbšie?

Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.

Odoberať newsletterNaše služby
NextOWASP Agentic Security (ASI) Top 10 (2026): Riziká agentických AI systémov