owasp_llm)交付——不仅是一个清单视图。安装它会在每个到
api.orcarouter.ai 的请求已经穿越的同一路径上,实体化每个风险
所映射到的防护栏规则和防火墙策略,并把所捕获的内容快照进一份
你可以交给审计员的签名报告。
本页把每个被覆盖的 OWASP LLM 风险映射到执行它的 OrcaRouter 控制、
展示如何安装包,并链接到每个控制的深度参考。关于跨所有框架的
安装到上线弧线,请从 合规概览
开始。
1. OWASP LLM Top 10 映射到 OrcaRouter 控制
owasp_llm 包是一个作为真实策略安装的控制映射——下面每一项
都是网关执行的一个控制,而非意图的描述。高信号风险映射到实时
防护栏和一条防火墙策略;一个风险(LLM05)是一个没有网关执行
执行面的组织性控制。
LLM01 —— 提示注入
LLM01 —— 提示注入
LLM02 —— 不安全输出处理
LLM02 —— 不安全输出处理
输出阶段的一个防护栏,在包含经典 SQL 注入载荷
(
UNION SELECT、OR 1=1、DROP TABLE)的模型响应到达可能
自动执行它们的下游系统之前拦截它们。在
防护栏 匹配信息流中审视匹配。LLM05 —— 供应链
LLM05 —— 供应链
一个组织性控制——对你的模型、数据和依赖的供应链保证是
一个你拥有的流程,而非一个请求时的网关检查。包把它作为报告
中的证据携带,于是你的审计员看到它被计入。关于第三方工具的
运行时一侧,参见
保护 AI 智能体。
LLM06 —— 敏感信息泄露
LLM06 —— 敏感信息泄露
两个防护栏:Secrets & API-Key Blocker(拒绝携带 AWS /
OpenAI / GitHub 凭据的请求)和一个严格的 PII Blocker(拒绝
携带 email、电话号码、SSN、信用卡或 IP 的请求)。两者都在
请求到达提供商之前硬拒绝。参见
防护栏 的 PII 和密钥章节。
LLM07 —— 系统提示词泄漏
LLM07 —— 系统提示词泄漏
输出阶段的一个防护栏,拦截回显聊天模板控制令牌
(
<|system|>、<|im_start|>)的模型响应——系统提示词正被
泄漏回来的明确证据。调优该规则并在匹配信息流中审视它的命中。包覆盖 OWASP 列表中具有具体网关执行执行面的高信号子集——LLM01、
LLM02、LLM06、LLM07、LLM08 作为被执行的控制,外加 LLM05 作为
组织性证据。完全存在于你自己应用代码中的风险(模型窃取、训练
数据投毒)在网关路径之外,仍归你处理——参见
责任共担。
2. 为什么是防护栏和防火墙,而非一个控制
OWASP LLM 列表横跨两个不同的平面,而 OrcaRouter 沿同一界线分割 它的控制: 防护栏筛查提示词和响应文本;防火墙评估工具调用和出站 动作。过度自主权(LLM08)是一个动作问题,所以它映射到一条 防火墙规则——而非一个内容过滤器。这种区分正是全部要点:阅读 防护栏 vs 防火墙 了解为什么单个控制无法覆盖两者。3. 安装包
浏览目录和就绪度对任何工作区 Member 免费。安装包会实体化 防护栏和防火墙策略,且是一个门控到付费套餐的工作区 Admin 动作。从控制台做它——Compliance → Catalog → OWASP LLM Top-10 → Install。 安装会在你的工作区中创建真实、可编辑的防护栏规则和一条 防火墙策略。它们之后归你调优——调整 PII 实体列表、在你了解你的 智能体行为期间把 LLM08 deny 换成一个audit 判定,或在 LLM01
关键词/regex 基础之上加一条 llm_judge 注入规则。通过
guardrail_id 把防护栏附加到一个密钥,通过 firewall_policy_id
把防火墙策略附加上去,或把任一个设为工作区默认。
4. 用一份签名报告证明它
你无法展示的覆盖不是覆盖。包运行后,生成一份合规报告—— 它是 Ed25519 签名和 SHA256 戳记的,可导出为 CSV / JSON / PDF, 且在无 OrcaRouter 账户的情况下公开可验证。生成一份签名报告
报告快照什么以及它如何被签名。
验证一份报告
把公共验证端点交给审计员——无需账户。
5. 接下来去哪里
合规概览
完整的安装 → 执行 → 报告 → 上线弧线。
一个包里有什么
一个包的控制如何变成防护栏和防火墙策略。
所有框架
目录中其他的 AI、安全和隐私包。
保护 AI 智能体
端到端地针对这些风险加固智能体的基线。