今天分享的是：大模型组件漏洞与应用威胁安全研究报告

报告共计：51页

《大模型组件漏洞与应用威胁安全研究报告（2025年）》由天融信阿尔法实验室发布，全面分析了大模型在组件和使用阶段的安全问题。大模型计算资源需求高，其部署涉及数据处理、模型训练与微调、评估验证及借助推理引擎运行等多个环节，相关组件众多且复杂。在训练微调阶段，训练工具存在训练数据污染、计算环境逃逸等风险，如PyTorch分布式RPC框架和LLaMA - Factory框架的漏洞；推理优化与部署组件方面，vLLM和Ollama等工具存在反序列化漏洞、DNS重绑定漏洞等，影响模型服务的稳定与安全。应用框架中，快速构建框架、UI及可视化工具和分布式计算运维工具也都存在不同程度的安全漏洞，像路径遍历、SQL注入、硬编码密钥等问题。其他大模型相关工具，如工作流扩展工具、数据及特征工具和开发实验环境工具同样有安全隐患 。模型使用阶段，模型越狱可绕过大模型安全限制，通过多种技术诱导其输出有害信息；数据泄露问题频发，包括模型训练数据和用户数据的泄露；Prompt泄露与注入攻击可控制模型行为，导致信息泄露等风险；模型助手类漏洞则源于设计不当，存在权限过度配置等问题。大模型安全问题涉及多个层面，需构建多层次、多维度的防御体系，加强学术界、产业界协作，完善监管框架，提升AI系统安全性和可信度，推动大模型安全发展。

以下为报告节选内容