信息安全知识库

AI agents increasingly drive critical systems—from healthcare diagnostics to autonomous vehicles. Yet their autonomy introduces vulnerabilities: adversarial attacks, data leakage, and unintended harmful behaviors. This standard provides a systematic methodology to test agent resilience across interfaces, models, tools, and life-cycle stages, ensuring they operate within ethical and safety boundaries.

Aligned with WDTA’s 3S principles (Speed, Safety, Sharing), this document accelerates secure AI adoption while fostering international collaboration. We commend the AI STR Working Group and contributors for pioneering a framework that balances innovation with accountability. Their expertise delivers actionable guidance for developers, auditors, and policymakers to build AI systems that serve humanity securely.

人工智能（AI）正日益应用于所有利用信息技术的行业，并预计将成为主要的经济驱动力之一。这一趋势的一个结果是，某些应用在未来几年可能会引发社会挑战。本文旨在帮助组织在涉及AI系统（例如使用、开发、监控或提供利用AI的产品或服务）时，负责任地履行其职责。AI可能引发以下特定的考虑因素，例如：

• 以自动决策为目的的AI使用，有时以非透明和不可解释的方式进行，这可能需要超出传统IT系统管理的特定管理。
• 使用数据分析、洞察和机器学习，而非人类编码的逻辑来设计系统，既增加了AI系统的应用机会，也改变了这些系统的开发、论证和部署方式。
• 能够进行持续学习的AI系统在使用过程中会改变其行为。这些系统需要特别考虑，以确保在行为变化的情况下其负责任的使用能够持续下去。

本文件提供了在组织背景下建立、实施、维护和持续改进AI管理系统的要求。预计组织将把这些要求的应用重点放在AI独有的特征上。AI的某些特征，如持续学习和改进的能力，或缺乏透明性和可解释性，如果它们引发的担忧超出传统执行任务的范围，可能需要不同的保障措施。采用AI管理系统来扩展现有的管理结构是组织的一项战略决策。

这是 ChaMD5 安全团队 AI 组的第一篇关于大语言模型（LLM）的安全研究报告，尽管团队在 AI 安全领域已经有了一定的积累， 但由于是初次撰写报告， 我们深知在专业性与严谨性方面可能存在着诸多不足。真诚地希望各位读者老师能够不吝赐教，对报告中的任何问题提出宝贵的意见与建议，帮助我们不断改进与提升。

1. 引言
2. LLM 安全格局：机遇与风险并存
3. 剖析核心风险：OWASP LLM Top 10 (2025 版) 详解
4. 真实世界的威胁：LLM 与供应链安全案例研究 4.1. 案例研究：数据投毒 - PoisonGPT 实验 4.2. 案例研究：软件供应链攻击 - PyTorch 'torchtriton' 事件 4.3. 启示与影响
5. 安全构建：LLM 开发与防御框架及工具 5.1. 开发编排框架：LangChain 5.2. 防御工具：Rebuff AI 5.3. 防御工具：Garak 5.4. 其他相关工具 5.5. LLM 安全工具比较
6. 建议与未来展望
7. 附录 7.1. 关键术语解释 (Glossary of Key Terms) 7.2. OWASP Top 10 for LLM Applications (2025 版) 完整列表 7.3 参考引用

大模型企业应用十大常见安全风险 01 样本投毒（数据污染） 02 恶意利用（Prompt注入攻击） 03 代码辅助工具数据泄露（第三方代码辅助工具） 04 第三方代码依赖风险（开源模型/库污染） 05 自动化Agent权限滥用 06 自建模型平台暴露面过大 07 训练数据隐私泄露 08 模型推理劫持（对抗样本攻击） 09 AI伦理与偏见放大 10 开源模型滥用（深度伪造与辅助犯罪）

随着⼈⼯智能（AI）技术的⻜速发展，以⼤型语⾔模型（LLMs）为核⼼的智能体（AI Agents）和多智能体系统(Multi-Agents System)正⽇益深⼊到各个应⽤领域，从简单的对话助⼿到复杂的⾃主决策系统。与此同时，作为连接 AI 模型与外部世界（包括⼯具、数据源和其他智能体）的关键桥梁，模型上下⽂协议（MCP）的出现进⼀步拓展了 AI 智能体的能⼒边界。然⽽，这种能⼒和集成度的提升也带来了前所未有的安全挑战。本⽂将针对⽬前披露的针对⼤模型、 MCP 和 AI 智能体的各类安全攻击⽅法，简要分析和总结，深⼊剖析原理、关联性和影响，⼒求提供⼀个当前时点较为全⾯的威胁分析视图，并结合最新的研究进展，为当前的防御策略提供洞察

出海成为众多国内企业实现业绩新增长曲线的选择，然而随着数据的重要性提升，法律及监管关注度也在增强，携程作为在线旅行行业较早布局海外业务的企业，在海外数据安全合规风险上也有所积累。本次演讲将分享携程海外数据安全合规风险管理的思路和经验，希望能给相关出海企业企业带来一些合规实践上的启示。

演讲提纲

1. 出海面临的数据安全合规挑战

法律法规近些年主要变化及监管挑战 从数据视角深度剖析出海合规风险 2. 携程应对策略及实践

携程的海外合规整体策略设计 如何通过GRC平台形成风险管理闭环 如何保障旗下Trip.com产品的隐私合规 3. 海外数据安全合规未来展望和应对思考

实践痛点

合规风险管理线上化需要建立在标准化的风险管理、优秀的产品设计、合理的内部运营流程等基础上，才能实现控制域的完备性、控制方法的准确性、关键控制的有效性、审计覆盖的充分性等关键指标。

演讲亮点

结合合规实战介绍部分法域的合规挑战 介绍携程自研GRC(Governance, Risk and Compliance )平台如何融合监管情报、外规内化、审计整改等多个治理环节，解决出海过程中面临多法域、多品牌的风险管理挑战 听众收益

帮助了解现有海外数据安全相关合规的整体风险态势 帮助了解标准化及线上化在多法域数据安全合规风险管理中的价值

百度作为一家业务复杂的大型互联网企业，同时又是关键基础设施，随着网络安全威胁的日益加剧，传统的安全运营手段在效率和效果上都面临巨大挑战。本次分享将介绍百度如何基于大模型构建深度安全推理智能体框架，实现运营效率和效果的双重提升，并展示包括告警自动研判和漏洞事件分析在内的实践经验，希望能给听众带来一些大模型安全领域应用最佳实践的启示。

演讲提纲

1. 背景和挑战

大模型开始逐步应用于安全运营场景 百度安全运营面临的双效（效率+效果）提升需求 2. 架构设计

设计目标：基于深度安全推理智能体框架，实现双效提升 设计考虑：人机协同的工作流设计（运营流程梳理、质量标准定义、人机交互模式）、模型能力边界与拓展（模型结果可信度和可解释性、知识和工具依赖）、实施成本 整体架构（自底向上）： 底座模型的知识补充 RAG、CoT、Function calling 流程编排 智能体 Review 机制 3. 实践案例

告警自动/辅助研判 + 事件处置 漏洞事件自动分析 + 处置 4. 未来展望

大模型原生的安全运营中心 实践痛点

明确目标，围绕安全运营场景的风险偏好，制定更贴合实际的落地目标，避免直接盲目追求大而全的零职守无人干预 以数据驱动能力迭代，缺少可用数据时应当从实际场景中提升标准化和自动化水平，引入业务的数据活水，避免直接使用脱离业务的合成数据 演讲亮点

从架构设计层面剖析安全运营场景双效提升应遵循的必要准则，提供构建深度安全推理智能体框架的完整视角 细粒度展现告警研判、漏洞分析处置等实际场景的双效提升最佳实践 听众收益

了解互联网大厂的安全运营需求痛点与大模型实践经验 了解规模化且对效果要求较高的安全运营场景下，大模型智能体设计考虑与整体架构

主流安全大模型及应用场景侧重于非结构化数据的整理、总结、分析和建议，但还缺少最后一步——如何让大模型参与安全响应的决策，并在决策后自动化完成动作的执行。本议题将介绍，安全专家如何借助大模型，自动生成网络安全响应流程（安全剧本），并自动完成剧本的执行，由此在安全运营场景最后一公里完成大模型应用场景落地。

• 发布 SecGPT 的安全厂商
• 大模型在安全领域的应用场景
• 共性不足（重分析，轻决策）

• 模型是否有能力给出合理建议
• 如何让模型给出更高质量的决策
• 模型决策结果的潜在风险

• OWASP TOP 10 典型场景
• 大模型在 Web 攻击攻击领域的应用效果
• 降低模型决策风险的实践思路

• 让模型设计剧本 VS 让模型选择剧本
• 大模型落地安全最后一公里（能力调度）如何实现
• 终极目标：零值守无人安全运营中心

• 针对特定性的安全事件，如何设计响应策略
• 人工智能设计的安全策略是否可以实现全自动执行
• 距离真正零值守还有哪些问题没有解决

不仅仅使用大模型对安全事件做分析，还通过安全大模型对安全事件响应作出决策，安全大模型完全决策，并最终付诸实施通过安全能力实现安全策略的落地，该环节减少对人工的依赖，减少对安全专家的依赖，是未来零值守安全运营中心的重要基础。

• 传统安全运营的场景，痛点和困境
• 有别于安全大厂的安全运营智能化实践
• 安全大模型最后一公里所解决的问题和价值

不同运营商使用相同固件会存在同一类型漏洞

供应链中引入的代码可能永远不会得到审查

• 介绍
• 安全漏洞
• 研究&漏洞
• 总结

• 电诈团伙产业链条演变
• 裸聊诈骗的套路解密
• 裸聊诈骗的幕后技术
• 深入电诈团伙内网探测
• 对团伙内网管理软件的突破

• 个人介绍
• Exchange架构
• CVE-2020-0688
• ProxyLogon
• ProxyShell
• 总结

• 安卓应用的防护手段
• iOS应用的防护手段
• 同应用防护力度对比
• r0cap/r0tracer支持iOS！

• Audit Spring Framework & Spring Boot
• Hacked Spring

链上洗钱与反洗钱

重要性：

利用加密货币进行洗钱的增长趋势明显， 反洗钱是阻止黑客获取收益，追回损失的最后一道防线。

• 个人介绍
• 前置知识
• 域与域之间的横向移动
• 绕过SID过滤

• AI在网络安全的应用
• AI模型安全与隐私
• 针对AI赋能安全的攻击
• AI时代网络空间安全新挑战

• 第一部分 网络安全与中国黑客成长简史
• 第二部分 攻防两端对抗技术演进简史
• 第三部分 网络攻端人才的未来

• 钓鱼邮件种类
• 钓鱼邮件写法
• 如何成功制作一封钓鱼邮件