OWASP publicó el Top 10 para LLMs porque los equipos estaban integrando modelos en producción sin un marco común de riesgos. Si tu equipo construye features con IA, esta lista no es documentación académica: es lo que van a intentar explotar antes de que tu producto tenga suficientes usuarios para ser un objetivo.
Los riesgos de mayor probabilidad para equipos de desarrollo
LLM01 — Prompt Injection: El más prevalente. Hay dos variantes: directa (el usuario manipula el prompt) e indirecta (el modelo procesa contenido externo con instrucciones maliciosas). El control mínimo es nunca confiar en contenido externo como instrucción y separar el system prompt del user content.
LLM02 — Insecure Output Handling: El modelo produce un output que la aplicación ejecuta sin sanitización — por ejemplo, SQL ejecutado directamente o HTML inyectado en el DOM. El principio: tratar el output del modelo como untrusted input.
LLM06 — Sensitive Information Disclosure: El modelo revela en su respuesta información que estaba en su contexto. La mitigación requiere diseño cuidadoso de qué entra al contexto y output filtering antes de retornar respuestas.
«Cada riesgo del OWASP LLM Top 10 tiene un denominador común: asumir que el modelo se comportará como fue diseñado, con todos los inputs posibles.» — Equipo de Seguridad, SFD
Riesgos de arquitectura y supply chain
LLM05 — Supply Chain Vulnerabilities: Las dependencias de IA tienen una cadencia de vulnerabilidades más alta porque el ecosistema es joven. Política mínima: pinear versiones y suscribirse a los advisories de seguridad de cada dependencia. LLM08 — Excessive Agency: Agentes con demasiados permisos tomando acciones irreversibles sin confirmación humana. Si tu agente puede modificar registros o llamar APIs externas con consecuencias reales, necesita guardarraíles explícitos.
Controles mínimos no negociables antes de producción
Validación y sanitización de todo input que toca el modelo. Output filtering antes de retornar al usuario. Logging de las interacciones (sin PII). Rate limiting en endpoints que invocan el modelo. Revisión de permisos de los agentes aplicando mínimo privilegio. Estos cinco controles son la diferencia entre un incidente que descubres en tus logs y uno que descubres en las noticias.