• OWASPが発表したLLMsとジェネラティブAIに関する最新のリスクリストによると、LLMsが組織が保持する機密データを露出させるリスクが急増しており、これが第2の最大のリスクとされている。
  • 供給チェーンの脆弱性もリストで重要な位置を占めており、トレーニングデータ、モデル、展開プラットフォームの整合性に影響を与える可能性がある。
  • LLMとGenAIツールを使用する組織にとって最大のリスクは、プロンプトの注入であり、これにより安全対策が回避され、有害なコンテンツが生成され、不正アクセスが可能になる。
  • 2025年版のOWASP Top 10リストには、新しいリスク要素が含まれており、その1つはベクトルと埋め込みに関するもので、これが新しいリストで最も重要な開発とされている。
  • システムプロンプトの漏洩も新たなリスク要素としてリストに加えられており、これはモデルの振る舞いを誘導するために使用されるシステムプロンプトが意図しない機密情報を含んでいる可能性がある。

私の考え:LLMsやGenAIの普及に伴い、機密情報の漏洩や供給チェーンの脆弱性などのリスクが顕在化していることが明らかです。特に、プロンプトの注入やベクトルと埋め込みの問題は重要性を増しています。OWASPの取り組みは、開発者や組織がこれらのリスクにどのように対処すべきかを示す重要なガイドとなっています。

元記事: https://www.infosecurity-magazine.com/news/owasp-data-exposure-risk-ai/