Creo que el core está en extraer información a la que no deberías tener acceso, lekear el prompt del sistema, bypassearlo, agencia excesiva (e.g bloquear usuarios), impersonificar otros usuarios para leer su casilla de mail (esto mas que nada en los  que son agentes internos), están los clasicos como XSS via file upload, RCE, data poisoning, SSRF

les dejo un par de playgrounds:

https://portswigger.net/web-security/llm-attacks
https://promptairlines.com
https://myllmbank.com
https://myllmdoc.com
https://tensortrust.ai/
https://learnprompting.org/docs/prompt_hacking/injection
https://learnprompting.org/hackaprompt-playground
https://www.aicrowd.com/challenges/hackaprompt-2023
https://prompting.ai.immersivelabs.com
https://gpa.43z.one
https://huggingface.co/spaces/detoxioai/Pokebot
https://wrongsecrets.herokuapp.com/challenge/challenge-32
https://www.yudbot.com
https://hackmerlin.io
https://academy.hackthebox.com/module/details/297

En mi laburo están dejando un poco de lado los pentest tradicionales (sin descartarlos del todo) y están haciendo mucho hincapié en Pentest de IA, algunas puertas se van abriendo para algunos rubros pero parece que son más las que se cierran, si tuviese que adivinar diría que va a afectar más a lo defensivo/blue team