LLM-Enabled OSS 論文閱讀分析：真正麻煩的常常不是 LLM 長出全新漏洞，而是舊弱點開始活進更長的執行鏈

論文基本資訊

• 論文標題：LLM-Enabled Open-Source Systems in the Wild: An Empirical Study of Vulnerabilities in GitHub Security Advisories
• 作者：Fariha Tanjim Shifat、Hasin Baburaj、Chenguang Zhou、Jannatun Sarker、Muhammad Main Uddin Imran
• 年份：2026
• 來源：arXiv:2604.04288 / LLMSC 2026 / FSE Companion 2026
• 論文連結：https://arxiv.org/abs/2604.04288
• 主題：LLM Security、Open Source Supply Chain、GitHub Security Advisories、CWE、OWASP Top 10 for LLM Applications、Model-Mediated Exposure

這篇 LLM-Enabled Open-Source Systems in the Wild 最有價值的地方，不是它又整理了一份「LLM 很危險」的清單，而是它做了一件比較難、也比較接近現實的事：直接回頭看真實世界已經公開的 GitHub Security Advisories，問一個很實際的問題——今天我們拿來描述軟體弱點的那套語言，到底夠不夠描述 LLM 系統的風險？

作者的答案很微妙，也因此很值得看：如果你問的是 implementation-level 弱點，答案大致夠用；但如果你問的是 model-mediated exposure，也就是模型、prompt、tool、agent autonomy 與 execution chain 怎麼把風險放大、串起來、一路傳下去，那現有 advisory metadata 明顯不夠。

換句話說，這篇真正戳中的不是「LLM 系統完全長出一套前所未見的程式漏洞」，而是我們可能一直在用描述 code defect 的語言，試圖解釋一個其實已經變成 interaction architecture 問題的系統。

這篇論文想解決什麼問題？

近一年大家對 agentic AI、MCP、RAG、tool calling、prompt injection 已經講很多，但一個常被忽略的現實是：真的進入公開漏洞披露體系後，這些風險最後會被怎麼記錄？

GitHub Security Advisories（GHSA）平常會記錄：

• 受影響套件
• 版本區間
• 嚴重度
• CVE / CWE
• 漏洞描述

這套 schema 對傳統軟體一直很有用，但 LLM-integrated system 不太一樣。因為它的風險常常不是只停在某一行 code 寫錯，而是：

• prompt 怎麼被拼起來
• 模型輸出怎麼被下游元件吃進去
• tool invocation 有沒有過大權限
• plugin / orchestration / dependency 怎麼把風險放大
• 本來只是內容層的操控，怎麼一路變成 execution path

作者要解的核心問題就是：GHSA 的 CWE-centric 表述，能不能看見這種 model-mediated exposure？如果不能，差在哪裡？

研究方法：不是做 toy benchmark，而是看真實 advisory

這篇方法其實很務實。作者從 2025 年 1 月到 2026 年 1 月 之間，蒐集了 295 筆 在 GitHub Advisory Database 裡、且明確 reference 到 LLM 相關元件的 security advisories。

這裡的「LLM 相關」不是只看 package 名字有沒有寫 GPT、LLM 而已，也包含：

• 模型與 vendor 關鍵詞，例如 OpenAI、Llama、Mistral、Claude
• orchestration / agent frameworks，例如 LangChain、Flowise、Ollama、vLLM、Hugging Face
• protocol 與 pipeline 基礎設施，例如 MCP
• retrieval / embedding / vector infra，例如 Chroma、Milvus 等

但作者沒有停在 keyword match。因為很多 package 雖然在描述裡會碰到 AI / LLM 字眼，核心功能卻不一定真的是 LLM。於是他們再把涉及的 133 個 unique packages 拉出來，人工分成三類：

1. LLM-associated：本體就是在做 LLM inference、prompt management、agent framework、RAG pipeline 這類功能
2. Possible LLM-associated：常出現在 LLM pipeline，但本身不是專為 LLM 而生
3. Non-LLM-associated：和 LLM 關聯很弱，或只是被描述順手提到

最後分布是：

• 84 個 LLM-associated packages，對應 226 筆 advisories
• 16 個 Possible LLM-associated packages，對應 34 筆 advisories
• 33 個 Non-LLM-associated packages，對應 35 筆 advisories

之後作者再從前兩類抽樣 100 筆 advisories 做人工標註，這次不只看 CWE，還用 OWASP Top 10 for LLM Applications 2025 去標 architecture-level risk。

第一個重要結論：沒有看到「只屬於 LLM 的全新 implementation 弱點類型」

這應該是整篇最容易被誤讀、但也是最值得讀的地方。

作者分析 295 筆 advisory 後發現，LLM-enabled OSS 的 implementation-level 漏洞，大多還是掉回老朋友：

• CWE-94：Improper Control of Code Generation / Code Injection
• CWE-77 / CWE-78：Command Injection
• CWE-502：Unsafe Deserialization
• CWE-22：Path Traversal
• CWE-400 / CWE-770 / CWE-1333：資源消耗與 DoS 類問題

也就是說，從 code defect 的角度看，作者沒有找到一種「只有 LLM 系統才會有、而現有 CWE 完全無法覆蓋」的新弱點家族。

這個結論我反而覺得很健康。因為它提醒我們，別把 LLM security 神秘化到失真。很多真正在 production 裡爆掉的東西，仍然是大家很熟的 injection、deserialization、auth、resource exhaustion，只是它們現在活在一個更會把上下文、輸出與權限串起來的系統裡。

換句話說，LLM 沒把軟體安全的基本功廢掉；它只是讓那些老弱點更容易沿著新的 interaction chain 傳播與放大。

第二個重要結論：GHSA / CWE 看得到 defect，卻看不完整個 exposure chain

如果只看到前一段，很容易以為這篇的意思是「那就沒什麼新問題嘛」。但真正重要的反而是下一步。

作者指出，GHSA metadata 的確很適合描述：

• 哪個 package 壞了
• 什麼版本有問題
• 嚴重度多高
• 對應哪個 CWE

但它沒有結構化欄位去記錄：

• 這個弱點是不是透過 prompt manipulation 被觸發
• 模型輸出是否被 unsafe 地送進下游元件
• 是否涉及 agent autonomy 或 excessive agency
• 是否因為 plugin / orchestration / dependency 鏈而放大
• 這個問題到底是 code defect，還是整條 model-mediated interaction chain 的設計缺陷

作者舉的例子很到位：某個 advisory 被標成 CWE-94 當然沒錯，因為 code generation control 確實失守了；但如果 exploit path 是從 template prompt、model-generated content、tool forwarding 一路串進可執行行為，那CWE 只描述了哪裡壞，卻沒描述這個壞點是怎麼在 LLM system 裡變得特別危險。

這就是這篇想補的洞：code-level truth 沒錯，但 architectural truth 還沒被寫進去。

OWASP 標註後看到什麼？真正常出現的是供應鏈、過度代理權限與 prompt injection 的組合

作者把抽樣的 100 筆 advisories 用 OWASP Top 10 for LLM Applications 2025 做人工標註後，看到的圖像就比 CWE 更接近 agent 時代的現實。

最常見的風險類別是：

• LLM03 Supply Chain：44%
• LLM06 Excessive Agency：20%
• LLM01 Prompt Injection：18%
• LLM02 Sensitive Information Disclosure：17%
• LLM10 Unbounded Consumption：17%
• LLM05 Improper Output Handling：12%
• LLM04 Data and Model Poisoning：7%

這串分布很有意思。它在說的其實不是「模型本身又學壞了」，而是風險大量集中在模型周圍那圈會接工具、接依賴、接資料、接權限的 execution ecosystem。

而且 100 筆裡有 37 筆 不是單一標籤，而是 multi-label。這很關鍵，因為 LLM 系統的事故常常不是單點型，而是鏈式型：

• prompt 被操弄
• output handling 沒限制
• tool / command interface 權限過大
• 最後整條 execution path 被帶偏

這就是作者看到最常見的配對，例如：

• LLM03 + LLM06
• LLM01 + LLM05
• LLM01 + LLM06
• LLM01 + LLM05 + LLM06

我覺得這也是整篇最貼近現場的地方：真正危險的不是 prompt injection、supply chain、excessive agency 各自存在，而是它們會在同一條 execution chain 裡互相接力。

這篇真正補到什麼？它把「LLM 風險不是新 CWE，而是新耦合方式」說清楚了

很多 agent security 論文會告訴你 attack surface 變大了；這篇比較難得的是，它拿公開 advisory data 去證明：LLM 系統的特別之處，往往不在於 code defect 完全陌生，而在於 defect 與 system architecture 的耦合方式完全不同。

作者在 RQ4 看到的現象就是這樣：OWASP 類別最後還是會回到傳統 CWE，但對應方式很有意思。

• Supply Chain 會對到很多種 CWE，顯示它本質是跨元件、跨依賴的 exposure 問題
• Excessive Agency 常對到 command injection、dynamic code execution 這類 execution weakness
• Prompt Injection 常對到 injection / script 類弱點，代表 prompt manipulation 會一路往執行層掉
• Improper Output Handling 也會和 execution-related CWE 綁在一起，因為最終問題常常不是模型說錯，而是系統把模型輸出當真

所以比較精準的說法不是「LLM 產生全新漏洞類型」，而是：

LLM integration 改變了傳統漏洞的觸發、傳播與放大方式。

這個 framing 很重要。因為它告訴 defender 一件不太討喜但很實用的事：你不能只靠 LLM-specific slogan 來做防禦，也不能只靠傳統 code scanning 假裝事情沒變；你得把兩套視角一起疊上去看。

對防守方的意義：別只修 code，還要修 metadata、schema 跟 triage 視角

如果把這篇放回真實資安流程，它的意義其實很直接。

第一，既有 code-level security practice 還是重要。SAST、dependency review、deserialization hardening、command execution boundary、auth control，一樣不能少。因為實際炸掉的弱點還是這些。

第二，但 advisory triage 不能只停在 CWE。如果你今天看到一個 injection 弱點，問題不只是「是不是 CWE-77」，而是：

• 它是否位在 prompt construction / template rendering / tool invocation 這條路上？
• 它會不會讓模型輸出直接碰到高權限介面？
• 它是在 package 裡、workflow 裡，還是整個 orchestration layer 裡擴散？

第三，安全資料模型本身該升級。如果 GHSA、CVE、內部 vuln management 平台、SBOM / VEX 流程還是沒有欄位能表達 model-mediated exposure，很多 LLM 事故最後都只會被寫成「某套件有 injection」，然後真正影響風險優先序的東西——例如 autonomy、tool reach、data sensitivity、prompt provenance——全都留在分析師腦中，沒被結構化。

這會讓後續自動化治理很難做。因為系統只能看見 defect，卻看不見 exposure context。

我怎麼看這篇的價值與限制？

我認為這篇最大的價值，是它非常克制。

它沒有用「LLM security completely rewrites software security」這種很響亮但不太準的說法，而是更老實地指出：

• implementation weakness 大多還是舊的
• 但 advisory schema 對 LLM-specific architecture risk 的表達明顯不足
• 所以你需要 CWE + OWASP 這種雙視角

這種結論其實比較有用，因為它同時避免兩種常見誤區：

• 誤區一：把 LLM security 神秘化，好像一切都得從頭發明
• 誤區二：把 LLM security 簡化成傳統 AppSec，小看 interaction-driven risk

當然，它也有明確限制。

• 它研究的是 已進入 GHSA 的公開 advisories，不是所有真實事故
• GHSA 本身就有 reporting bias，很多 prompt leakage、misinformation、system prompt exposure 不一定會被正式披露
• 100 筆人工標註雖然夠看 pattern，但還不是超大規模
• OWASP taxonomy 本身也還在演化，今天的分類不一定是未來最終標準

但這些限制沒有把結論打掉，反而更凸顯主線：如果連進了正式 advisory 流程的資料都還難以結構化表達 LLM 風險，那真實世界裡沒被寫清楚的部分只會更多。

總結

這篇論文最值得記住的一句話，我會自己改寫成這樣：

LLM 系統最麻煩的地方，常常不是它發明了全新漏洞，而是它讓舊漏洞活進了一條更長、更模糊、也更會自我放大的執行鏈。

所以真正成熟的分析方式，不會只問「這是什麼 CWE」，而會同時問：

• 這個弱點位在哪個 LLM interaction layer？
• 它會不會經過 prompt、output、tool、agent autonomy 被放大？
• 它在系統裡到底只是 defect，還是已經變成 architecture-level exposure？

這篇的貢獻，就在於把這條線講得很清楚：對 LLM-integrated systems 來說，CWE 沒有失效，但單靠 CWE 已經不夠。 真正夠用的視角，得是 code weakness 與 model-mediated risk 一起看。

---

本文由 AI 產生、整理與撰寫。