OWASP LLM Top 10 nedir?

OWASP Foundation'ın 2025'te güncellediği, LLM uygulamaları için 10 ana güvenlik riskinin listesi ve remediation rehberi.

Bu self-assessment yeterli mi?

Başlangıç için iyi bir baseline; production için bağımsız red team (Garak, PyRIT) + penetration test gerekir.

Ağırlık nasıl hesaplanıyor?

Her soru 1-10 ağırlık + her risk 1-5 impact ile çarpılarak top remediation sıralanır.

85+ üzeri compliant kabul edilebilir; 60-85 kabul edilebilir gap; <60 kritik.

Hangi araçlarla test edebilirim?

Garak (NVIDIA), PyRIT (Microsoft), PromptInject, NeMo Guardrails.

MITRE ATLAS ile ilişkisi nedir?

OWASP riskleri uygulama-katmanı; ATLAS adversarial taktikleri taksonomisi. Birlikte kullanılır.

Yapay Zeka Etkileşimli Araçları

OWASP LLM Top 10 Self-Assessment

10 risk için 40+ kontrol sorusu ile ağırlıklı skor + en kritik 12 boşluk için remediation önerisi.

Tanım

OWASP LLM Top 10: OWASP Foundation'ın Büyük Dil Modeli Uygulamaları için Top 10 risk listesi (2025 sürümü); prompt injection'dan unbounded consumption'a 10 ana güvenlik riski tanımlar ve remediation rehberi sunar.; Ayrıca: LLM security, AI red team, OWASP LLM01-10

Sektör profili:

0/35 cevaplandı0%

LLM01Prompt InjectionEtki: 5/5ATLAS: 3

Kullanıcı veya harici içerik üzerinden gönderilen talimatların modelin sistem talimatlarını aşması.

LLM01-Q1.Sistem ve kullanıcı promptlarını net delimiter'larla ayırıyor musunuz?
LLM01-Q2.Dış kaynaklardan gelen içerik (web, PDF, e-posta) için 'güvenilmez' sistem mesajı veriyor musunuz?
LLM01-Q3.Hassas aksiyonlardan önce out-of-band kullanıcı onayı zorunlu mu?
LLM01-Q4.Sürekli (CI'da) prompt injection test seti çalıştırıyor musunuz?
LLM01-Q5.Agent araç erişimi en az ayrıcalık (least privilege) prensibine göre verilmiş mi?

LLM02Sensitive Information DisclosureEtki: 5/5ATLAS: 3

Modelin sistem prompt, müşteri verisi, sırrı veya iç bağlamı yanlışlıkla ifşa etmesi.

LLM02-Q1.Sistem prompt'larında secret, API anahtarı veya credential bulunmadığından emin misiniz?
LLM02-Q2.Modele giden istek/yanıt loglarında PII redaction uyguluyor musunuz?
LLM02-Q3.Çıktıda kişisel veri/sır kaçağı için izleme/uyarı var mı?
LLM02-Q4.Sistem prompt'unu açıklatma denemelerini engelleyen guardrail var mı?

LLM03Supply Chain VulnerabilitiesEtki: 4/5ATLAS: 3

Üçüncü taraf model, dataset, plugin veya kütüphanelerden gelen zaaflar.

LLM03-Q1.Üçüncü taraf modellerin köken bilgisi (provenance), lisansı ve eğitim verisi şeffaflığı kontrol ediliyor mu?
LLM03-Q2.ML pipeline için SBOM (Software Bill of Materials) tutuluyor mu?
LLM03-Q3.Plugin/tool eklemeleri güvenlik incelemesinden geçiyor mu?
LLM03-Q4.Vendor olay bildirim süresi sözleşmede max 48 saat olarak tanımlı mı?

LLM04Data and Model PoisoningEtki: 5/5ATLAS: 3

Eğitim, fine-tune veya RAG verilerine kötü amaçlı içerik enjekte edilmesi.

LLM04-Q1.RAG vektör DB'ye yüklenen dökümanlar approval workflow'undan geçiyor mu?
LLM04-Q2.Fine-tune veri kaynaklarının lisansı + telif kontrolü yapılıyor mu?
LLM04-Q3.Vektör DB'de anomali tespiti (örn. cosine outlier) var mı?
LLM04-Q4.Model/RAG için rollback prosedürü yazılı mı?

LLM05Improper Output HandlingEtki: 4/5ATLAS: 2

Model çıktısının XSS, SQLi, command injection açıklarına karşı render edilmesi.

LLM05-Q1.LLM çıktısı render edilirken XSS sanitize ediliyor mu?
LLM05-Q2.LLM kaynaklı kod/SQL/Shell çıktıları doğrudan exec edilmiyor mu?
LLM05-Q3.Model JSON çıktısı schema ile doğrulanıyor mu?

LLM06Excessive AgencyEtki: 5/5ATLAS: 2

Agent'a verilen yetkinin gereğinden fazla olması; geri alınamaz/etkili aksiyon yetkisi.

LLM06-Q1.Her agent için yetki kapsamı yazılı mı (allowlist)?
LLM06-Q2.Geri alınamaz aksiyonlar HITL onayı gerektiriyor mu?
LLM06-Q3.Agent aksiyon sayısı rate-limit'li mi?
LLM06-Q4.Acil durdurma (kill switch) mekanizması var mı?

LLM07System Prompt LeakageEtki: 3/5ATLAS: 2

Sistem prompt içeriğinin tersine mühendislikle sızdırılması.

LLM07-Q1.Sistem prompt iş mantığı / sır içermiyor mu?
LLM07-Q2.Prompt'lar versiyonlanıyor + audit edilebiliyor mu?

LLM08Vector and Embedding WeaknessesEtki: 4/5ATLAS: 2

Vektör DB güvenlik, embedding inversion, cross-tenant veri sızıntısı.

LLM08-Q1.Multi-tenant kullanımda her tenant için ayrı vektör namespace var mı?
LLM08-Q2.Embedding endpoint'leri authentication ile korunuyor mu?
LLM08-Q3.Vektör verisi at-rest + in-transit encrypted mi?

LLM09Misinformation (Hallucination)Etki: 4/5ATLAS: 2

Modelin güvenle yanlış bilgi üretmesi; kullanıcı/müşteri için risk.

LLM09-Q1.Üretken AI çıktısı RAG ile birlikte kullanıldığında kaynak alıntı zorunlu mu?
LLM09-Q2.Halka sunulan içerikte fact-checking süreci yazılı mı?
LLM09-Q3.Modelin emin olmadığı yanıtlar kullanıcıya işaretleniyor mu?

LLM10Unbounded Consumption (DoS / Cost)Etki: 3/5ATLAS: 2

Token tüketim limitsiz; saldırı veya bug nedeniyle aşırı maliyet/altyapı tüketimi.

LLM10-Q1.Kullanıcı başına saatlik token limit var mı?
LLM10-Q2.Aylık maliyet alarmı + kill-switch ayarlı mı?
LLM10-Q3.Aşırı uzun input için truncation/refusal mantığı var mı?

Skor

OWASP LLM Top 10 Self-Assessment Sonucu

Tüm soruları yanıtlayıp skoru hesaplayın.

Sıkça Sorulan Sorular

OWASP Foundation'ın 2025'te güncellediği, LLM uygulamaları için 10 ana güvenlik riskinin listesi ve remediation rehberi.

Kaynaklar

OWASP Top 10 for Large Language Model Applications 2025, OWASP Foundation
NIST AI Risk Management Framework + GenAI Profile (2024), NIST
MITRE ATLAS — Adversarial Threat Landscape for AI Systems, MITRE
Garak — LLM Vulnerability Scanner, NVIDIA