系统:运行中
← 返回所有攻击
DEFENSE MEDIUM NEW

OWASP AISVS 1.0:一份可测试的 AI 应用安全核查清单

OWASP 于 2026 年 6 月底发布了其 AI 安全验证标准的首个稳定版——14 个章节的通过/未通过要求,将 AI 治理意图转化为可验证的证据,并设有专门的智能体与 MCP 章节。

2026-07-06 // 6 min affects: llm-applications, ai-agents, mcp-servers, rag-systems, vector-databases

这是什么?

AI 安全验证标准(AI Security Verification Standard,AISVS) 是 OWASP 的一个社区驱动项目,它将 AI 安全从一组理念转变为一份真正可测试的核查清单。OWASP 于 2026 年 6 月 24 日发布了首个稳定版 AISVS 1.0(依据官方项目页面;LRQA 的分析文章日期为 2026 年 6 月 29 日);该标准采用 CC BY-SA 4.0 许可,由 Jim Manico 发起,当前团队成员包括 Otto Sulin、Rico Komenda、Russ Memisyazici 与 Raza Sharif。该标准明确以历史悠久的 OWASP 应用安全验证标准(ASVS)为蓝本:每一条要求都被写成可验证、可测试、可实施的形式,使审计人员、渗透测试人员或 CI/CD 流水线能够将其判定为通过或未通过,而不是停留在争论。值得注意的是,OWASP 也说明了 AISVS 不是什么:它不是治理框架,不是风险管理方法论,也不是工具推荐清单。它提供的是技术控制层,NIST AI RMF、ISO/IEC 42001、OWASP LLM 应用十大风险以及 OWASP 智能体应用十大风险等框架都会指向这一层,但它们本身并不给出具体规格。

工作原理

AISVS 1.0 划分为 14 个要求章节,覆盖 AI 的完整生命周期:训练数据完整性与可追溯性、输入校验、模型生命周期与变更控制、基础设施与部署安全、访问控制与身份、模型与数据的供应链安全、模型行为与输出控制、记忆/嵌入/向量数据库安全、自主编排与智能体行动、模型上下文协议(MCP)安全、对抗鲁棒性、隐私与个人数据管理、监控与日志,以及人工监督。每条要求都带有 1 到 3 的验证级别——级别 1 是每个系统都应满足的基线,级别 2 面向生产系统及处理个人数据的系统,级别 3 面向高保障环境;OWASP 建议大多数生产系统至少达到级别 2。要求使用稳定的标识符格式 C<章节>.<小节>.<要求>,引用时以版本号作前缀——例如 v1.0-C9.4.3,它要求审计日志通过只追加/WORM 存储、密码学哈希链,或可独立验证的等效完整性保证来实现防篡改。支撑该标准的研究 wiki 覆盖了 60 页中的 191 条要求,而冻结的 1.0/en 目录是已发布文本的权威来源。

为何重要

对于任何将 LLM 功能投入生产的人来说,其价值在于 AI 安全变得可度量。董事会可以批准 AI 政策,风险委员会可以维护模型清单,但这些都无法证明控制措施确实有效;AISVS 为安全团队提供了一个可重复的基线以进行测试并产出证据。与当前威胁态势最相关的两个章节是智能体与 MCP 章节。编排与智能体行动章节(C9)涵盖执行预算、循环控制、断路器、高影响操作的人工审批、工具隔离、智能体身份、运行时授权以及紧急停止(kill-switch)机制——正是这些控制在缩小模型输出与实际运营影响之间的距离。MCP 章节(C10)涵盖白名单化的 MCP 服务器、按请求的访问令牌校验、OAuth 2.1 声明校验、工具级授权、安全传输、模式校验,以及在 MCP 工具响应进入模型上下文之前对其进行间接注入的筛查。最后一点直接对应了 2026 年持续不断的披露所涉及的间接注入与工具投毒类别。

防御

AISVS 本身就是一种防御性工具,因此实际问题在于如何采用它。首先盘点您的 AI 系统,并根据风险层级为每个系统分配目标级别:内部或低风险工具用级别 1,生产及面向客户的系统默认用级别 2,当监管暴露或对抗压力需要更深保障时用级别 3。把这些要求当作一个控制库,融入设计评审、威胁建模、代码评审与 CI/CD 关卡——而不是当作年度审计清单。优先处理与您架构相匹配的章节:运行自主智能体的团队应先处理 C9 与 C10,RAG 部署应先处理记忆与向量数据库章节,任何处理个人数据的系统应先处理隐私章节。在渗透测试范围和供应商采购问卷中引用具体的要求编号,使第三方受同一可测试标准的约束。由于 AISVS 是对 ISO/IEC 42001 和 NIST AI RMF 的补充而非替代,请将其技术控制映射回您组织已在报告的治理框架,使通过/未通过的证据能纳入既有的保障报告体系。

状态

这是一次防御性标准的发布,而非漏洞。以下数据来自 OWASP 官方仓库与项目页面。

项目详情
项目OWASP AI 安全验证标准(AISVS),由 Jim Manico 发起
发布1.0 版,2026 年 6 月 24 日(依据 OWASP 项目页面;LRQA 分析日期为 2026 年 6 月 29 日);1.0/en 目录已冻结
结构覆盖 AI 生命周期的 14 个要求章节;三个验证级别(1/2/3)
智能体/MCP 范围C9 编排与智能体行动;C10 模型上下文协议安全
要求格式C<章节>.<小节>.<要求>,引用为 v1.0-Cx.y.z;研究 wiki:60 页 191 条要求
定位技术控制层,补充 NIST AI RMF、ISO/IEC 42001、OWASP LLM 与智能体十大风险;并非治理框架
许可CC BY-SA 4.0

Sources