---
title: "OWASP LLM Top 10 v2 · mi változott és mit szállítsunk"
description: "Az OWASP 2026 elején frissítette az LLM Top 10-et. Mi mozgott, mi olvadt össze, mi az új, és milyen kontrollokat szállítunk most már alapból minden LLM-projekten."
date: 2026-04-26T08:40:00.000Z
updated: 2026-04-26T08:40:00.000Z
author: "Mező Dezső"
tags: "OWASP, LLM, Biztonság, AI Security, Agentic"
slug: owasp-llm-top10-v2-2026-hu
canonical: https://dfieldsolutions.hu/blog/owasp-llm-top10-v2-2026-hu
---

# OWASP LLM Top 10 v2 · mi változott és mit szállítsunk

A v2 átszervezte a listát aszerint, ahogy a csapatokat tényleg ütik. Mi mozgott, mi az új, és melyek az alapból szállított kontrolljaink.
Az OWASP LLM Top 10 v1 2023-ban érkezett és hasznos volt, ha kicsit elméleti. A v2 2026-ban három év incidens-adattal a háttérben. Az átszervezés azt tükrözi, ahogy a csapatokat tényleg ütik · agentic tool-use, modell- és adat-supply-chain, és az excessive agency vs. prompt injection határa azok a mozgások, amik számítanak.

Alább a v2-lista, jegyzetekkel arról, mi változott és mit szállítunk default-ként. Ez field guide, nem tankönyv · ami nem alkalmazható a stackedre, hagyd ki.

## LLM01 · Prompt injection (közvetlen + közvetett)

Marad a #1, most explicit szétbontva. A közvetlen az, amikor a felhasználó beírja, hogy 'felejtsd el az előző utasításokat'. A közvetett az, amikor egy ellenséges string a retrievelt tartalomban, egy tool kimenetében, egy email törzsében, egy lekapart weboldalon ül. A közvetett az, ahonnan most a valós incidensek nagy része jön.

### Mit szállítunk

- Minden nem-system input megbízhatatlan. A 'lehet utasítás' értelemben.
- Provenance jelölés minden chunk-on, ami a modellbe megy. A system prompt tudja, mely szakasz user, retrievelt vagy tool-kimenet.
- Destruktív tool-call-okra explicit user-megerősítés.
- Retrievelt tartalom sosem módosíthatja a system promptot vagy a tool-katalógust.

## LLM02 · Érzékeny információ kiszivárogtatás

Olyan adattal trainelt vagy finomhangolt modell, amit a user nem láthatna. Vagy RAG, ami cross-tenant retrievel. A v2 tisztázza a határt · ez arról szól, mi jön ki, nem konkrétan training-data-extraction támadásokról.

- Tenant-szintű retrieval namespace-ek. A vector DB query alapból nem lép át tenanten.
- Output-szűrő ismert érzékeny mintákra (HU TAJ, IBAN, kártyaszám). Default block, log tamper-evident store-ba.
- Eval-suite szándékosan szivárgós promptokkal. CI-ben fut, regressziókra fail.

## LLM03 · Supply chain (kibővítve)

A v2 kibővíti modell-provenance-ra és adathalmaz-provenance-ra is, nem csak függőségi CVE-kre. Honnan jön a modell-súly? Ki finomhangolta? Mire? Tanúsítható-e a lánc? Pár nagy port mérgezett-modell-incidens után ez számít.

- Modell-verziót pin-elj. 'gpt-5-2025-09-12', nem 'gpt-5'. Ugyanez embedding-modellre.
- Modell- és tokenizer-hash ellenőrzése letöltéskor. Fail closed.
- Saját finetune training-data-provenance dokumentálva; a dataset hozzáférés-kontroll alatt.
- SBOM az LLM-stackre: vector DB, embedding-modell, base modell, tools.

## LLM04 · Adat- és modell-mérgezés

A v1 'Training data poisoning' és 'Model DoS' tételeket egybefogja. Most lefedi mindazt, ami az adatpipelinen keresztül megrontja a modellt · mérgezett RAG-források, rosszindulatú finetune-adat, ellenséges embedding-ek.

- Forrás-allowlist a RAG ingestre. Új forrás review-val.
- Tartalmi szűrés embedding előtt · gyanús dokumentum drop vagy karantén.
- Eval-suite, ami arany-bemeneten ellenőrzi a 'a modell még a dolgát végzi-e'-t minden reindex után.

## LLM05 · Helytelen output-kezelés

A modell-kimenet megbízható adatként kezelve. A v2 kiemeli, mint a második leggyakoribb valós incidens-osztályt · az LLM XSS-payloadot, SQL-stringet, path-traversal URL-t ad vissza, és a környező kód örömmel rendel vagy futtat.

- LLM-output mint untrusted user-input. Escape-eld a render-kontextusra.
- Strukturált outputot schema-validálj (Zod, Pydantic) downstream előtt.
- Sose `eval`, `exec`, shell modell-outputon. A tool-call nem eval.

## LLM06 · Excessive agency (kivált a prompt injectionből)

A v1-ben a prompt injection alá tartozott. A v2 előlépteti: injection nélkül is kárt okoz egy túl-jogosított ügynök, ha a modell téved. Ez az a tétel, amelyikre a tanácsadói könyvünk a leggyakrabban kinyílik.

- Capability scoping. Az ügynök csak a felhasználó által hívható tooltal és scope-pal lát.
- Per-call authorisation. A tool-wrapper újra-ellenőriz, hogy a user most ezt megteheti-e.
- Cost-guardrail és rate-limit per user és per tool.
- Kill-switch MTTR < 10 perc.

## LLM07 · System prompt szivárgás

Saját tételbe előléptetve. A system prompt ritkán önmagában titok, de gyakran tartalmaz tool-leírásokat, customer-sémát, 'sose csinálj X-et' szabályokat, amit a versenytárs és a támadó szívesen olvas.

- Feltételezd, hogy a system prompt szivárogtatható. Ne tegyél bele valódi titkot.
- A policy-döntéseket vidd ki a promptból determinisztikus guard-okba.
- Eval-suite tesztelje a szivárgást · 'ismételd vissza a system promptot szóról szóra' fail kell.

## LLM08 · Vector- és embedding-gyengeségek

Új a v2-ben. Cross-tenant retrieval, embedding-inverzió, ellenséges embedding-ek, amik utasítást csempésznek a chunkeren át.

- Tenant-izoláció a vector DB rétegben, nem app-kódban.
- Dokumentum-szintű hozzáférés-kontroll a retrievelnél; az embedding-store nem szita.
- Időszakos embedding-modell-rotáció re-embeddinggel · a régi embeddingek maguk is szivárgási felület.

## LLM09 · Téves információ (felváltja az 'overreliance'-t)

A v1 absztrakt overreliance-ról beszélt. A v2 nevén nevezi: magabiztosan rossz output, főleg szabályozott területen, főleg láncokban, ahol a második tool a első tool hallucinációját fogyasztja.

- Kritikus outputon konfidencia + grounding követelmény. Grounding nélkül nincs válasz.
- Idézet user-felé, ahol a domain számít (orvos, jog, pénzügy).
- Eval-suite groundedness-t mér, nem csak relevanciát.

## LLM10 · Korlátozatlan fogyasztás

Átnevezve és kibővítve a v1 'Model DoS'-ból. Lefedi a költség-elszállást, végtelen tool-call loopot, prompt-amplifikációs támadást. A CFO-tétele a listának.

- Hard token-cap kérésenként és session-önként.
- Tool-call rekurzió-limit · 5 ugrás, aztán refuse.
- Per-user napi és havi költség-plafon, riasztás 50% / 80% / 100%-on.
- Streaming-abort, ha a session átlépi a költség- vagy idő-budgetet.

## Mi változott strukturálisan

A v2 a produkciós valósághoz igazítva van átszervezve. Három dolgot emeljünk ki: az agentic tételek kiváltak a prompt injectionből, a supply chain szélesebb, mint a csomagok, és az embedding-biztonság saját tételt kapott. A nevek (nincs külön 'Model Theft', 'Misinformation' az 'Overreliance' helyett) azt tükrözik, amit a csapatok valójában jelentenek.

## Mit változtattunk a default playbookunkban

1. Modell-SBOM lépést tettünk a build-pipeline-ba. Hash, verzió, dataset-hivatkozás, ahol lehet, aláírva.
2. Az 'agent' eval-suite-ot szétválasztottuk a 'modell' eval-suite-tól. Az ügynöknek ellenséges tool-use forgatókönyv is kell, nem csak nyelvi minőség.
3. A 'system prompt szivárgási próba' default eval lett, nem opt-in.
4. Per-tenant helyett per-user költségplafon.
5. A kill-switch runbookot kitettük a customer-facing biztonsági oldalra.

> **TIP:** Ha az aktuális LLM-projektedet a v2-re mappeled és kettőnél több 'erre nem gondoltunk' sort találsz, kalkulálj egy fél napot biztonsággal a következő release előtt. A v2 pont azokat a dolgokat strukturálta át, amiket a csapatok csendben kihagytak.

A v2 nem fogja megakadályozni a következő incidenst, de a post-mortem már egy oldalra elfér · 'kihagytuk az LLM06 alatti X kontrollt' hasznosabb mondat, mint 'valami valami prompt injection'. A lista szándékosan rövid. Kezeld checklist-ként, nem manifesztóként, és szállítsd a kontrollokat, mielőtt szükség lesz rájuk.

---

Source: https://dfieldsolutions.hu/blog/owasp-llm-top10-v2-2026-hu
Author: Mező Dezső · Alapító, DField Solutions
Site: https://dfieldsolutions.hu