Volver al inicio

Agentic SAMM para agentes seguros

Agentic SAMM extiende OWASP SAMM para sistemas agenticos, introduciendo SDLC en espiral y taxonomía de amenazas. El marco incluye 17 controles con mapeo a NIST y NCSC, modelo de confianza y principios Auftragstaktik. Adecuado para migración o nuevos proyectos.

ASAMM: SDLC en espiral para amenazas agenticas
Advertisement 728x90

ASAMM Agentic: Marco para el Desarrollo Seguro de Sistemas Agenticos

ASAMM Agentic (ASAMM) amplía OWASP SAMM para sistemas agenticos, donde el ciclo de vida de desarrollo de software (SDLC) evoluciona de un ciclo lineal a un espiral. Cada vuelta de la espiral regresa a las fases de diseño, implementación y verificación, pero con un modelo de amenazas actualizado que considera cambios en herramientas y entornos. El marco aborda una taxonomía de amenazas: el contexto como plano de control (cualquier contenido legible por el agente puede convertirse en una orden), la invocación de herramientas como frontera de seguridad, y la ventana autónoma como el radio temporal de daño potencial.

Un modelo de confianza de dos ejes, inspirado en NATO STANAG, se aplica a agentes, herramientas, servidores MCP y fuentes de contexto. Niveles desde A1 (permisos completos) hasta F6 (ejecución aislada únicamente) imponen reglas estrictas de interacción.

Principios de Diseño y 17 Controles

El diseño sigue principios de Auftragstaktik: el prompt del sistema establece la intención (Auftrag), no algoritmos rígidos. Esto permite a los agentes adaptarse, como notó Moltke: ningún plan sobrevive al primer contacto con el enemigo.

Google AdInline article slot

ASAMM ofrece 17 controles en las 5 funciones de SAMM, mapeados a NIST AI RMF y NCSC. Hay dos vías de implementación:

  • Migración desde un programa de seguridad existente.
  • Implementación desde cero para nuevos proyectos.

El marco es de código abierto: humanos contribuyen vía Issues y PRs en GitHub, los agentes crean tickets al detectar lagunas.

Lecciones Clave para Desarrolladores Medios/Seniors

ASAMM resalta un cambio de paradigma en seguridad:

Google AdInline article slot
  • La frontera de seguridad ha cambiado: el SDLC tradicional protege código y artefactos, pero ignora flujos de contexto, llamadas a herramientas, permisos delegados y comportamiento en tiempo de ejecución.
  • Contexto equivale a instrucción: documentos, tareas de seguimiento, logs de CI o descripciones de herramientas pueden convertirse en comandos. Se necesitan controles de procedencia de contexto más allá de la validación de entrada.
  • Autorización ≠ alineación con la tarea: agentes con privilegios completos pueden desviarse de los objetivos, eludiendo controles tradicionales.
  • El tiempo como factor de riesgo: la ventana autónoma multiplicada por el radio de la herramienta define el radio potencial de explosión.
  • El entorno de desarrollo es la superficie de ataque: plugins de IDE, servidores MCP, hooks pre-commit y agentes de CI demandan modelado de amenazas.

Errores Comunes en la Práctica

Los desarrolladores suelen pasar por alto las particularidades de los sistemas agenticos. Fallos típicos:

  • Modelos de amenazas exhaustivos pero sin fuentes de contexto ni rutas de invocación de herramientas.
  • Revisión de código cubre el 100% de PRs, ignorando prompts, esquemas de herramientas y configs de agentes.
  • Escaneos DAST limpios pero sin pruebas de comportamiento adversarial en contexto.
  • Privilegio mínimo en cuentas de servicio, sin granularidad en llamadas a herramientas.
  • SCA pasa pero omite dependencias de frameworks, servidores MCP y proveedores de modelos.

Lo Más Importante

  • SDLC Espiral: Adapta modelos de amenazas a la evolución del sistema y herramientas.
  • Taxonomía de Amenazas: Enfocada en contexto, herramientas y ventana autónoma.
  • 17 Controles: Mapeados a NIST AI RMF/NCSC para integración fluida.
  • Código Abierto: Contribuciones vía GitHub para humanos y agentes.
  • GOST R 56939-2024: Adaptación rusa con mapeos disponibles.

ASAMM cubre lagunas en marcos existentes, proporcionando protección para superficies de ataque agenticas. Su implementación minimiza riesgos en entornos de producción con agentes autónomos.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Leer después