OWASP GenAI Data Security Risks and Mitigations 2026的发布,把LLM、GenAI与Agentic AI场景中那些与数据直接相关的特有风险单独拎出来,让安全团队能够用数据安全的视角重新审视模型系统,本文将对此风险进行简要解析。原文链接:https://genai.owasp.org/resource/owasp-genai-data-security-risks-mitigations-2026
GenAI中的数据安全可被定义为一组保障措施,用来保护数据在LLM、GenAI与Agentic AI系统中被存储、传输、变换和输出时的机密性、完整性、可用性与真实性。这里最关键训练与微调、RAG检索、工具使用、代理记忆、遥测与可观测性、推理期处理以及下游输出。换句话说,在GenAI语境下,数据安全不仅仅发生在数据库里,更发生在整个模型生命周期里。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
检查点、LoRA、适配器、训练日志、评测集、模型注册表
|
|
|
|
提示词、上下文窗口、Agent消息、工具调用、KV缓存、会话记忆
|
|
|
|
|
|
|
|
|
|
GenAI的数据安全之所以和过去不同,是因为上下文窗口把多个信任域压进了一个没有内部访问控制的扁平命名空间。系统提示、用户输入、RAG结果、工具输出与历史会话在进入模型时几乎拥有同等可见性。
在GenAI系统里,模型本身不能被默认为可信执行边界。它可能泄露、复述、重建和转发数据。因此,安全设计的重点不是相信模型自己会守规矩,而是让模型无论想输出什么、调用什么、记住什么,都只能在明确收缩过的数据面和权限面里行动。这一项最容易被忽视的地方不在于攻击多么复杂,而在于企业往往先把数据面做得过宽。如果共享盘、公共聊天频道或遗留权限体系已经把敏感内容暴露给RAG上游,那么攻击者甚至不需要越权,只需要正常提问就能获得不该返回的答案。比如客服机器人因历史工单未脱敏而吐出客户社保号,而当用户提出删除请求时,企业只删了原始记录,却没有同步处理嵌入、缓存或检查点,导致已删除内容仍在语义检索中反复出现。同时,间接提示词注入可以借由外链图片、工具回调或重定向链路把上下文再带走,说明泄露面绝不只在文本输出本身。从控制顺序看,可以先缩小进入模型之前的暴露面,再约束输出与检索,再去做对抗与可验证删除。
-
建立no-train与no-retain策略,训练前脱敏与标记化处理,默认不记录完整正文,输出侧接入PII与密钥检测,RAG按文档ACL与用户任务隔离,并对敏感主题重复查询限速。
-
在提示词、输出、向量访问与日志链路上做实时DLP,阻断外链图片渲染与可疑回调目标,启用传输和静态加密、格式保持加密,以及更严格的记忆写入清洗。
-
把持续红队、成员推断审计、差分隐私训练、LoRA可抽取性检查与面向权重、嵌入、检查点的可验证删除协议纳入成熟方案
这一项讨论的核心不是账号泄露这个旧问题,而是Agentic AI把非人类身份大规模扩散以后,传统OAuth授权模型与自动Agent运行方式之间出现了结构性错位。三方OAuth原本围绕人的知情同意与一次性委托设计,但在自治Agent场景里,那个正在这一刻同意这次授权的人类信号消失了,剩下的却往往是完整继承下来的大范围令牌。于是,一个本来只为了读取某个文档工具而生的Agent,实际可能拿着操作者的全量读写权限,接着又把这些权限传给下游子Agent、工具调用和记忆检索链路。攻击者不一定要正面突破核心AI系统,只要拿下链路里最薄弱的一段,例如某个子Agent、某个工具端点或带注入载荷的检索文档,就可能继承远超预期的数据层权限。这一项真正的防御控制不是密钥保管箱本身,而是身份与任务边界。
-
以最小权限、短期令牌、RBAC与ABAC、mTLS、JIT访问为默认策略,把所有密钥放进Vault,不在提示词、日志和记忆里保留明文凭据,并保留不可变访问日志。
-
为每个Agent与子Agent签发可加密验证的独立身份,使用机器到机器身份模式替代依赖人类同意信号的OAuth路径,把记忆、向量检索与工具权限都收束到按Agent、按任务、按时间三维边界里
Shadow AI是员工绕过正式治理流程,直接把敏感提示词、文档、代码或客户数据交给未获批准的GenAI SaaS、浏览器Agent或带内嵌AI能力的生产力工具。这里真正危险的不是某一次复制粘贴,而是企业根本不知道哪些第三方系统已经成为自己的非正式数据处理者。如果供应商保留输入用于训练、把数据存到跨境区域、变更条款后扩大用途,或者自身发生配置错误与泄露事件,企业往往甚至没有最基本的义务和合同保障。攻击者在这类场景里很多时候往往是外部服务运营方、被攻陷的第三方环境或条款变更后的数据使用方式本身。
-
明确允许与禁止的AI工具边界,建立统一AI服务目录与注册流程,要求供应商合同覆盖保留、训练、跨境传输和通知条款,并通过DLP和CASB发现向未批准域名上传敏感数据的行为。
-
为业务团队提供可审计、可区域固定、可日志化的企业级替代方案,在边界处强制数据最小化,对SaaS整体安全成熟度做评估,并把DSPM与EDR能力延伸到自托管AI环境。
-
上游供应链被植入恶意内容,例如公共数据集、模型Hub、软件包仓库、标注供应商或构建依赖被控制。
-
-
模型行为、检索结果或隐私保护机制因此被偏离,进而在生产环境里表现出来
攻击场景非常典型:从公共Hub拉取模型,模型在加载时借由恶意初始化逻辑读取环境变量和云凭据或者预处理脚本在一次普通重构中悄悄关闭了DP-SGD噪声注入,最终让模型把原本应该被差分隐私保护的患者记录记忆下来。DSGAI04的防御核心在于如何把数据供应链变成可验证供应链。
-
只从受信注册表拉取模型和包,固定哈希、扫描镜像、把导入与训练流水线放进沙箱,给关键数据源加写权限限制。
-
对数据集、脚本、检查点全面做签名校验,做影响函数检测,对向量检索结果加入来源权重与语义一致性检查,并把隐私控制配置也纳入回归测试。
很多AI基础设施服务虽然做了语法层面校验,却没有做足够的语义验证与导入路径防护。于是,看起来结构合法的CSV、JSON、Parquet、快照归档和批量导入包,仍然可能携带极端异常值、恶意边界条件、路径穿越、符号链接或其他足以改变服务状态的负载。也就是说,问题不一定是数据内容本身有毒,也可能是导入机制本身被利用了。攻击者可利用有权限的快照导入端点提交一个包含符号链接的归档包,导入过程因为只做了格式验证而没有拒绝危险路径,最终把修改后的配置写进宿主机目录,关闭了向量库认证,再由外部攻击者拉走整个嵌入索引。
-
在所有提取边界统一Schema格式,拒绝符号链接与危险归档,让AI基础设施服务以非root身份运行并配合只读挂载,避免快照与导入逻辑拥有超出必要的文件权限。
-
对所有数据集、快照和导入执行签名和校验和验证,增加语义验证与分布感知校验,并把导入和恢复过程容器化、隔离化
DSGAI06 工具、插件与Agent间数据交换风险每一次工具调用、插件连接和Agent交接都视为潜在外传边界。原因很简单:当AI助手调用插件、把任务委派给子Agent、或者通过MCP桥与外部Agent协作时,它往往不会只传递一个最小字段,而是把当前对话上下文、文件引用、用户标识、工具结果甚至凭据一起转发给对方。只要接收端是恶意的,数据就会在企业几乎无感知的情况下离开控制面。一个会议纪要导出插件表面上只是把摘要同步到笔记SaaS,实际上却把完整原始对话发到了自己的后端并长期保存。
-
为插件、MCP服务器和Agent集成建立白名单与安全评审,所有边界强制签名请求,集中记录工具调用与Agent交接的目标、身份和元数据。
-
实施字段级上下文最小化,不允许把完整会话无差别转发给插件
在传统数据系统里,少打一条分类标签、忘配一条保留规则,问题常常被局限在当下那一层。在AI流水线里,同样的失误会向前传播到嵌入、缓存、备份、检查点与检索索引中,并且这些衍生物往往更难枚举、更难删除、也更难解释。这就是为什么原文把数据治理从合规卫生问题提升为GenAI中的直接安全风险。比如某客户提出删除请求,企业从业务库删掉了记录,但三个月前那批数据早已进入RAG。向量库里的嵌入还在,删除前的夜间备份也还在,稍后某次迁移触发重建索引时,这批已删除数据又被重新放回在线检索面这项的攻击者很多时候不是黑客,而是监管机构、诉讼方、调查记者,甚至只是普通用户发起的数据访问或删除请求。也就是说,当技术控制和治理控制脱节时,风险未必先以系统被攻破的形式出现,而可能先以你无法证明自己合规的形式出现。比如,同一批数据还被用于一次微调,而企业没有建立数据到模型的识别,所以也无法判断是否需要针对性重训或下线模型。于是,企业面对监管时无法证明可验证删除已经完成。截图、白板照片、PDF扫描件、语音留言和视频片段并不是图像问题,而是完整的数据安全问题。因为一旦OCR、ASR和多模态编码把这些内容转成文本、元数据、缩略图和嵌入,它们就与普通文本一样可以被存储、检索、日志化和再次训练。最常见的失误是把图片保护得很严,却忘了OCR结果被写进了日志。或者只给原始音频打高敏感标签,却没有让转写文本继承同样的分类。这类风险在企业场景里尤其常见。工程师上传后台截图,图里可能有客户详情和API密钥。员工拍一张白板照,里面可能有产品路线、内网域名和临时凭据。因此,多模态系统应当默认高敏感,把图片、音频、视频和文档上传都视为高敏感输入,强制OCR与ASR后的PII和密钥扫描,短TTL隔离临时存储,并默认关闭对用户提供多模态内容的训练复用即使企业把去标识化、标记化、标准化或合成数据生成当成天然隐私保证,而没有继续检查准标识符、统计结构、模型记忆与派生样本之间是否仍然能把个体重新识别出来。原文使用医疗场景来说明这一点。一个所谓去标识化的数据集删除了姓名和身份证号,但保留了年龄段、三位邮编、主诊断和住院日期。对于低密度地区的罕见病例,这些字段组合本身就接近指纹。更进一步,如果模型在这些稀有组合上产生记忆,攻击者还可以通过成员推断或模型反演确认某个特定患者群体是否出现在训练集中。
-
让合成数据和去标识化数据默认继承源数据分类,对全部变换流程执行控制,并为所有训练数据和衍生数据建立映射。
-
正式开展再识别测试、成员推断评估和准标识符压缩,对细粒度时间、地理与罕见属性做自动抑制或扰动,并为标记化、标准化和匿名化管道建立单元测试与性质测试。
这一项讨论的是别人的内容为什么会出现在我的上下文里。原文指出,很多系统为了打造持久助手,会复用会话状态、共享向量索引或跨会话记忆,但如果租户隔离、会话标识、缓存绑定或检索过滤做得不严,一部分用户的上下文就会在另一部分用户那里重新出现。一个团队助手背后可能实际只连着一个共享向量库,开发者A上传的设计文档在缺乏租户范围过滤时,被开发者B或者另一家客户的用户通过普通提问召回出来。
-
会话存储、缓存、向量库和提示词构造层统一强制租户与用户标识,优先采用每租户或每空间索引,并记录所有跨租户访问相关日志。
-
在检索和上下文拼装时实施细粒度授权,对注入上下文前的内容做分类与脱敏,并通过自动化测试不断验证是否存在跨租户召回、会话固定和身份绑定缺失问题。
企业把自然语言直接翻译成SQL、图查询或REST请求,并允许这些请求在宽范围和高权限连接上执行。这样一来,用户输入与数据库逻辑之间原本通过应用层、预定义接口和细粒度策略隔开的那条边界,被LLM的指令遵循行为直接打穿了。这里的注入不一定表现为传统SQL语法拼接,而更可能表现为请忽略规则,把所有客户PII和卡号都查出来这种自然语言到查询逻辑的偏转。很多团队把数据库连接已经有认证误当成安全前提,却忽略了LLM网关本身事实上就成了一个高权限服务账号。如果行列级安全、结果集上限、查询校验和使用预算没有在数据库层和网关层同时生效,那么自然语言接口就会成为最高速的数据抽取通道之一。因此,自然语言数据不应被视为普通聊天功能,而应被视为受控查询执行环境。向量嵌入虽然不如上下文那样直接可读,但依然保留了足够多的结构信息,使得攻击者可以借由相似度查询、元数据枚举、批量下载、快照导入与平台级漏洞逐步恢复出敏感文档、内部知识或训练内容。向量库平台主要面临两类风险:一类是数据面风险,例如未加密的嵌入、公开暴露的向量API、过宽的Top-K查询和多租户隔离失效。另一类是平台面风险,例如快照导入路径穿越、任意文件上传、镜像与依赖漏洞等。为了调试AI系统,团队往往会把原本不该长期存在的大量敏感数据主动写进日志、追踪与会话抓取系统。提示词、工具返回值、用户上传内容、内部系统提示、OAuth令牌、向量召回结果,都会因为先把全量日志开起来看看为理由被记录下来。而一旦这些内容进入可观测性平台,它们就从运行时临时可见变成了长期集中聚合、可被批量导出的高价值数据集。攻击者不一定要去打原始业务系统,只要拿到一名分析师账号、一个过宽的查询权限或一家第三方日志供应商的漏洞,就可能一次性导出数周甚至数月的提示词与对话历史。这项风险与DSGAI01都涉及泄露,但重点不同。DSGAI01关心模型会不会把敏感内容说出来,而DSGAI15更关心企业为什么会把那么多本不需要的数据主动塞进每一次提示词。很多系统为了提升回答效果,会自动附加完整客户画像、工单历史、交易记录、内部备注和整块文档片段到每一次请求中。这样做的结果是,哪怕用户只是问一句余额,外部模型提供方、边缘缓存和日志系统也会看见一份远超必要的数据快照。比如,一个助手在每次查余额请求里都附带完整KYC文件、住址历史和账户备注,随后云模型提供商根据自己的质量监控与分包链条保留了这些提示词这里的防御重点应该前置到提示词生成层,而不是等输出异常后再补救
-
对外发提示词执行字段级最小化,只允许进入当前任务真正需要的数据,使用Prompt在调用前自动脱敏,并通过合同约束外部模型提供商的保留、训练与地域要求。
-
为外发请求设置严格大小上限与敏感字段审计,区分内部模型路由和外部模型路由,对所有新提示词模板和自动补上下文能力做隐私设计评审
这一项把浏览器扩展、IDE助手和带系统权限的终端侧AI都视为高风险Agent。因为它们不再只是访问一个API,而是运行在用户的浏览器、文件系统、会话上下文和已登录SaaS环境之中。原文指出,这些工具为了提供所谓高生产力体验,往往会申请读取并修改所有网页数据、访问当前文件夹、读取邮件、日历与联系人等极宽权限。一旦扩展本身恶意、更新通道被劫持、页面里嵌有提示词注入内容,或者URL片段与隐藏元素被用来诱导模型执行外传行为,本地高价值数据就会直接离开终端。典型场景是开发者使用一个可访问所有标签页和本地文件系统的代码助手扩展,攻击页面通过URL片段中的隐藏指令要求助手上传~/.ssh和代码仓库中的.env文件。RAG系统的失败不一定表现为503,更危险的是静默失真。因为生成式系统的回答是否正确,取决于背后向量索引、检索层和上游数据依赖是否新鲜、一致、可用。一旦这一层出现饱和、复制延迟、回滚到陈旧副本或恢复后语义质量下降,用户看到的未必是系统报错,而可能是一条看起来很合理、实际上基于旧索引或坏索引生成的答案。向量数据库可能在查询洪峰下发生故障转移,切到一个落后18小时的副本,但这种陈旧性没有被传递到模型或前端。于是,系统在接下来几小时内持续基于旧索引回答问题,甚至重新暴露了前一天刚被删除、按数据主体请求应当失效的客户记录。也就是说,在GenAI里,可用性问题会直接转化为数据完整性与合规问题,因为用户无法区分现在拿到的是最新数据还是模型正在认真地复述旧世界。这一项讨论的是另一类并不依赖直接泄露的风险:攻击者通过大量探测,推断某条记录是否在训练集中出现过,或者逐步重建样本与属性。原文把成员推断、模型反演和嵌入反演放在同一条线上看待,即便系统从不直接输出原文,只要暴露了置信度差异、近邻关系、概率分数或向量相似度,就依然可能泄露受保护信息。换句话说,输出形式变了,并不代表敏感性消失了。RAG与Agent记忆会把这种风险进一步放大。因为缓存、重复查询和跨交互信号积累让攻击者更容易通过多轮探测逼近目标数据边界。这一项的控制不能只靠输出过滤,要把训练、查询与向量访问一起收紧
-
对模型与向量端点施加速率限制和查询预算,不向外暴露原始概率分数与置信值,对k近邻查询强制ACL和结果限制,把嵌入访问也当成敏感接口管理。
-
在微调与适配器训练中引入差分隐私,对嵌入做噪声注入或降维,对已部署模型周期性执行成员推断评估,并审计LoRA与微调检查点是否存在可抽取性问题。
-
持续监测系统化嵌入反演行为,开展影子成员推断红队,对高敏推断端点采用受控随机化,并通过水印或数据集属性校验增强事后溯源能力
模型训练、RLHF、安全微调和质量评审里的人工环节,本身就是一个高敏数据处理面。为了给模型打偏好标签、审阅回答、标记安全样本,企业往往会把完整提示词、内部文档、用户对话和系统输出交给人工标注者,而这些工作又常常外包给供应商或众包平台。如果没有足够的最小化、分层授权、设备控制和审计,这个环节会让原本只在生产系统里有限可见的内容,一下子暴露给大量人类操作员与其终端环境。比如,聊天记录与内部故障排查手册被整批发给标注供应商,结果标注者能看到姓名、账号、系统URL,个别人会为了副业截图留样,另一些人的终端则可能被恶意软件悄悄复制任务数据。原文把模型蒸馏式复制明确当成数据安全问题,而不只是知识产权问题。原因在于,攻击者无需偷走权重文件或原始训练集,只要利用合法API访问持续、大规模、系统化地采样一个教师模型的输入输出对,就可以训练出一个功能近似的学生模型。这类攻击把原本难以窃取的模型能力,转化成了一种通过海量查询逐步抽取的数据产品。对拥有高价值模型与私有能力的企业来说,这直接对应商业损失与能力外流。当攻击者能够把伪造、误导或被操纵的数据塞进一个AI系统已经信任的数据源里时,虚假信息才真正成为数据安全攻击。这个数据源可以是训练语料、RAG知识库、检索索引、工具输出或实时数据流。也就是说,问题不在模型幻想了什么,而在系统错误地相信了什么。这也是GEO投毒攻击
-
限制所有会进入训练集和知识库的写入权限,记录来源、整理方式和信任级别,并在回答中向用户透明展示引用来源,而不是只给出无来源断言。
-
对新进入训练与检索源的数据做统计与语义异常检测,在检索排序中引入基于来源信誉的加权机制,并在高压时期或危机场景对新内容启用更严格的审计。
在GenAI里,数据风险不再主要表现为有人直接进库偷数据,而更多表现为系统自己把多个信任域的数据聚合、转换、复用、日志化和再分发了。模型、向量库、Agent、工具、日志平台和终端助手共同构成了一条新的数据面。谁能进入这条数据面,谁能看到其中的哪些字段,这些字段在变成嵌入、缓存、摘要、日志和检查点之后是否仍然继承原始义务,决定了企业到底是在使用AI,还是在把原本分层的数据边界重新打平。从安全角度看,GenAI并没有推翻数据安全的基本原则,真正变化的是控制落点。过去我们把边界放在数据库、应用和网络之间。现在我们必须再把边界放到上下文窗口、向量索引、Agent身份、工具调用、终端助手与可观测性平台之间。信息来源:Security for Al公众号
浙公网安备 33010502006954号 
