Proteger Aplicaciones Agenticas: OWASP Top 10 y el Modelo de la Trifecta Letal
La Trifecta es una lista de verificación sencilla para detectar riesgos: datos privados (bases de datos, secretos), entradas no confiables (contenido web, correos electrónicos) y canales salientes (HTTP, correo). Cuando coinciden los tres, puede desencadenarse una inyección de comandos indirecta que cause filtraciones. Estrategia: romper al menos un enlace o aplicar controles infalibles.
- Datos privados: acceso bajo demanda, tokens de corta duración, minimización de datos.
- Comunicación externa: listas de dominios permitidos, DLP, intervención humana en envíos salientes.
- Contenido no confiable: etiquetado de origen, separación entre datos y control, puertas de política.
- Memoria persistente: TTLs, puntuación de confianza, espacios de nombres por cliente.
Revisa siempre la Trifecta en cada revisión: ¿acceso ilimitado? Es hora de rediseñar.
OWASP Agentic Top 10: Riesgos y Mitigaciones
ASI01 Secuestro del objetivo del agente. Ataque: Inyección indirecta a través de salidas de herramientas. Defensa: Puertas de política, aprobaciones de alto impacto, registro de desviación de objetivos, etiquetado de origen.
ASI02 Mal uso de herramientas. Ataque: Parámetros maliciosos en cadenas. Defensa: Listas blancas de herramientas, límites de radio de daño, correlación de cadenas.
ASI03 Abuso de identidad. Ataque: Reutilización de tokens, privilegios transitorios. Defensa: Tokens bajo demanda, permisos por tarea, revalidación.
ASI04 Cadena de suministro. Ataque: Compromiso de descriptor. Defensa: Fijación de versiones, firma de artefactos, listas blancas de fuentes.
ASI05 RCE inesperado. Ataque: Inyección de evaluación. Defensa: Aislamiento de ejecución, sin red por defecto, separación entre generación y ejecución.
Análisis Profundo: Amenazas a Memoria y Comunicación
ASI06 Envenenamiento de memoria. Ataque: Envenenamiento de RAG con impacto duradero. Defensa: Segmentación por cliente, TTLs, reversión en cuarentena.
ASI07 Inter-agente. Ataque: Suplantación, reproducciones. Defensa: mTLS, firma de mensajes, nonces y marcas de tiempo.
ASI08 Fallas en cadena. Ataque: Propagación de errores. Defensa: Separación entre planificador y ejecutor, interruptores de circuito, registros de linaje.
ASI09 Confianza humana. Ataque: Lavado de consentimiento. Defensa: Aprobaciones diferenciadas, confirmaciones en múltiples pasos.
ASI10 Agentes rebeldes. Ataque: Desviación de objetivos. Defensa: Interruptores de parada, perfiles de comportamiento, revisiones periódicas.
Puntos de entrada: entrada de usuario, RAG, herramientas. La planificación establece objetivos, la memoria construye confianza, la comunicación inter-agente requiere protocolos sólidos.
Escenarios Reales en Producción
Agente corporativo de correo/documentos (ASI01-03,09).
Riesgos: Correos como instrucciones, crecimiento de privilegios, sesgo del operador.
Mitigaciones:
- Separar lectura de acción.
- Aprobación explícita para salidas.
- Seguimiento del linaje de acciones.
Agente RAG con base de conocimiento (ASI06,08).
Riesgos: Ingesta no confiable, envenenamiento progresivo.
Mitigaciones:
- Puntuación de confianza basada en fuente.
- TTLs y reversión.
- Aislamiento por cliente.
Orquestador de herramientas (ASI02,04,05,07,10).
Riesgos: Llamadas de herramientas maliciosas, ataques en cadena de suministro, propagación.
Mitigaciones:
- Listas blancas por herramienta.
- Verificación de procedencia.
- Cuotas y puertas de política.
Plan de Implementación
Fase 1: Inventario (auditoría de Trifecta), bloqueo de salidas, habilitación de registro.
Fase 2: Puertas de política, tokens bajo demanda, aprobaciones de alto impacto.
Fase 3: Segmentación de memoria, trazabilidad de linaje, respuesta a incidentes (interruptores de parada).
Este enfoque por fases reduce riesgos sin necesidad de reescribir todo.
Conclusiones Clave
- Rompe las cadenas mortales: minimiza al menos un factor de la Trifecta.
- El OWASP Top 10 se enfoca en la transferencia de datos a instrucción a acción.
- Detectores de inyección son complementos — la arquitectura es reina.
- El monitoreo de linaje y detección de anomalías son imprescindibles para fallos en cadena.
- Perfiles de comportamiento e interruptores de parada gestionan agentes rebeldes.
— Editorial Team
Aún no hay comentarios.