Zurück zur Startseite

Agentic SAMM für sichere Agents

Agentic SAMM erweitert OWASP SAMM für agentische Systeme, führt SDLC-Spirale und Bedrohungstaxonomie ein. Das Framework umfasst 17 Kontrollen mit Mapping zu NIST und NCSC, Vertrauensmodell und Auftragstaktik-Prinzipien. Geeignet für Migration oder neue Projekte.

ASAMM: SDLC-Spirale für agentische Bedrohungen
Advertisement 728x90

Agentic SAMM: Framework für sichere Entwicklung agentischer Systeme

Agentic SAMM (ASAMM) erweitert OWASP SAMM für agentische Systeme, bei denen der SDLC von einem linearen Zyklus zu einer Spirale evolviert. Jede Spirale kehrt zu den Phasen Design, Implementierung und Verifikation zurück, jedoch mit einem aktualisierten Bedrohungsmodell, das Änderungen in Tools und Umgebungen berücksichtigt. Das Framework adressiert eine Bedrohungstaxonomie: Kontext als Kontroll Ebene (jeder vom Agent lesbare Inhalt kann zu einem Befehl werden), Tool-Aufruf als Sicherheitsgrenze und autonomes Fenster als zeitlicher Radius potenzieller Schäden.

Ein Zwei-Achsen-Vertrauensmodell, inspiriert von NATO STANAG, gilt für Agenten, Tools, MCP-Server und Kontextquellen. Stufen von A1 (volle Berechtigungen) bis F6 (nur isolierte Ausführung) erzwingen strenge Interaktionsregeln.

Designprinzipien und 17 Kontrollen

Das Design folgt Auftragstaktik-Prinzipien: Der System-Prompt setzt die Absicht (Auftrag), nicht starre Algorithmen. Das ermöglicht Agenten Anpassungsfähigkeit, wie Moltke sagte: Kein Plan überlebt den ersten Kontakt mit dem Feind.

Google AdInline article slot

ASAMM bietet 17 Kontrollen über die 5 SAMM-Funktionen hinweg, abgebildet auf NIST AI RMF und NCSC. Zwei Implementierungswege stehen zur Verfügung:

  • Migration aus einem bestehenden Sicherheitsprogramm.
  • Green-field-Einsatz für neue Projekte.

Das Framework ist Open Source: Menschen tragen über GitHub Issues und PRs bei, Agenten erstellen Tickets bei erkannten Lücken.

Wichtigste Erkenntnisse für Mid-/Senior-Entwickler

ASAMM hebt einen Paradigmenwechsel in der Sicherheit hervor:

Google AdInline article slot
  • Sicherheitsgrenze hat sich verschoben: Traditioneller SDLC schützt Code und Artefakte, ignoriert aber Kontextflüsse, Tool-Aufrufe, delegierte Berechtigungen und Laufzeitverhalten.
  • Kontext gleich Anweisung: Dokumente, Tracker-Aufgaben, CI-Logs oder Tool-Beschreibungen können zu Befehlen werden. Kontext-Provenienz-Kontrollen sind über Input-Validierung hinaus nötig.
  • Autorisierung ≠ Aufgabenalignment: Vollberechtigte Agenten können von Zielen abweichen und traditionelle Kontrollen umgehen.
  • Zeit als Risikofaktor: Autonomes Fenster multipliziert mit Tool-Radius definiert potenziellen Schadensradius.
  • Dev-Umgebung ist Angriffsfläche: IDE-Plugins, MCP-Server, Pre-Commit-Hooks und CI-Agenten erfordern Bedrohungsmodellierung.

Häufige Fallstricke in der Praxis

Entwickler übersehen oft Nuancen agentischer Systeme. Typische Fehler:

  • Bedrohungsmodelle sind umfassend, fehlen aber Kontextquellen und Tool-Aufrufpfade.
  • Code-Reviews decken 100 % der PRs ab, ignorieren Prompts, Tool-Schemata und Agent-Konfigs.
  • DAST-Scans sind sauber, testen aber kein adversarielles Kontextverhalten.
  • Least Privilege bei Service-Accounts, ohne Granularität bei Tool-Aufrufen.
  • SCA besteht, übersieht aber Framework-Abhängigkeiten, MCP-Server und Model-Anbieter.

Was am wichtigsten ist

  • Spiral-SDLC: Passt Bedrohungsmodelle an System- und Tool-Evolution an.
  • Bedrohungstaxonomie: Fokussiert auf Kontext, Tools und autonomes Fenster.
  • 17 Kontrollen: Abgebildet auf NIST AI RMF/NCSC für nahtlose Integration.
  • Open Source: Beiträge über GitHub für Menschen und Agenten.
  • GOST R 56939-2024: Russische Adaption mit verfügbaren Abbildungen.

ASAMM schließt Lücken in bestehenden Frameworks und deckt agentische Angriffsflächen ab. Die Implementierung minimiert Risiken in Produktionsumgebungen mit autonomen Agenten.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Weiterlesen