On the (In)Security of LLM App Stores

LLM应用商店的快速增长导致了大量自定义LLM应用的出现。然而，这种扩张引发了安全问题。在本研究中，我们提出了一个三层关注框架，以识别LLM应用的潜在安全风险，即具有滥用潜力的LLM应用、具有恶意意图的LLM应用和具有可利用漏洞的LLM应用。在五个月的时间里，我们从六个主要应用商店（GPT Store、FlowGPT、Poe、Coze、Cici和Character.AI）收集了786,036个LLM应用。我们的研究整合了静态和动态分析、开发了一个包含31,783个条目的大规模有毒词典（即ToxicDict）以及自动化监测工具，以识别和减轻威胁。我们发现，15,146个应用程序存在误导性描述，1,366个应用程序违反其隐私政策收集敏感个人信息，15,996个应用程序生成有害内容，如仇恨言论、自残、极端主义等。此外，我们评估了LLM应用促进恶意活动的潜力，发现616个应用程序可用于恶意软件生成、网络钓鱼等。我们的发现突显了强有力的监管框架和加强执法机制的紧迫性。

本论文旨在提出一个三层次的框架，以识别LLM应用程序的潜在安全风险。作者收集了6个主要应用商店的786,036个LLM应用程序，并使用静态和动态分析、大规模毒性词典和自动化监测工具来识别和减轻威胁。

本论文提出了一个三层次的框架来识别LLM应用程序的潜在安全风险，包括具有滥用潜力、恶意意图和可利用漏洞的LLM应用程序。

本研究发现15,146个应用程序具有误导性描述，1,366个应用程序违反了隐私政策收集了敏感个人信息，15,996个应用程序生成有害内容。此外，本文还评估了LLM应用程序促进恶意活动的潜力，发现616个应用程序可用于恶意软件生成、网络钓鱼等。作者呼吁加强监管和执法机制。

关于移动应用程序安全性的相关研究包括：《Mobile App Security: A Study on Issues and Solutions》、《A Survey of Mobile Application Security Testing Tools》等。