Agentic SAMM: Framework bezpieczeństwa dla systemów agentowych
Agentic SAMM (ASAMM) rozszerza OWASP SAMM dla systemów agentowych, gdzie SDLC ewoluuje z cyklu do spirali. Każda pętla spirali powraca do faz projektowania, implementacji i weryfikacji, ale z zaktualizowanym modelem zagrożeń, uwzględniającym zmiany w narzędziach i środowisku. Framework adresuje taksonomię zagrożeń: kontekst jako płaszczyznę zarządzania (każda treść czytana przez agenta może stać się poleceniem), wywołanie narzędzia jako granicę bezpieczeństwa, autonomiczne okno jako czasowy promień potencjalnych szkód.
Dwumaszynowy model zaufania, inspirowany NATO STANAG, stosowany jest do agentów, narzędzi, serwerów MCP i źródeł kontekstu. Poziomy od A1 (pełne uprawnienia) do F6 (tylko izolowane wykonanie) definiują surowe zasady interakcji.
Zasady projektowania i 17 kontroli
Projektowanie podlega zasadom Auftragstaktik: systemowy prompt określa intencję (Auftrag), a nie sztywny algorytm. Pozwala to agentowi adaptować się, jak zauważył Moltke: plan nie przetrwa pierwszego kontaktu z rzeczywistością.
ASAMM oferuje 17 kontroli, rozdzielonych na 5 funkcji SAMM, z mapowaniem na NIST AI RMF i NCSC. Dostępne są dwie ścieżki wdrożenia:
- Migracja z istniejącego programu bezpieczeństwa.
- Wdrożenie od zera dla nowych projektów.
Framework jest otwarty na wkład: ludzie używają GitHub Issues i PR, agenci — tworzą zgłoszenia przy wykryciu luk.
Kluczowe idee dla developerów mid/senior
ASAMM podkreśla zmianę paradygmatu w bezpieczeństwie:
- Granica bezpieczeństwa przesunęła się: klasyczny SDLC chroni kod i artefakty, ale ignoruje przepływy kontekstowe, wywołania narzędzi, delegowane uprawnienia i zachowania runtime.
- Kontekst równa się instrukcji: dokumenty, zadania w trackerach, logi CI lub opisy narzędzi mogą stać się poleceniami. Potrzebna jest kontrola pochodzenia kontekstu ponad walidacją danych wejściowych.
- Autoryzacja ≠ zgodność z zadaniem: agent z pełnymi prawami może odejść od celu, omijając tradycyjne kontrole.
- Czas jako czynnik ryzyka: autonomiczne okno mnoży się przez promień narzędzi, określając potencjalne szkody.
- Środowisko programistyczne — powierzchnia ataku: wtyczki IDE, serwery MCP, haki pre-commit i agenci CI wymagają modelowania zagrożeń.
Częste błędy w praktykach
Deweloperzy często pomijają specyfikę systemów agentowych. Oto typowe potknięcia:
- Model zagrożeń jest kompletny, ale bez źródeł kontekstu i ścieżek wywołania narzędzi.
- Code review obejmuje 100% PR, ignorując prompty, schematy narzędzi i konfiguracje agentów.
- DAST jest czysty, ale nie testuje zachowania przy adversarialnym kontekście.
- Least privilege na kontach serwisowych, bez granularności na wywołaniach narzędzi.
- SCA przechodzi, ale pomija zależności frameworków, serwerów MCP i dostawców modeli.
Co jest ważne
- Spiralny SDLC: dostosowuje model zagrożeń do ewolucji systemu i narzędzi.
- Taksonomia zagrożeń: skupienie na kontekście, narzędziach i autonomicznym oknie.
- 17 kontroli: mapowanie na NIST AI RMF/NCSC dla integracji.
- Otwartość: wkład przez GitHub dla ludzi i agentów.
- GOST R 56939-2024: rosyjska adaptacja z mapowaniem dostępna.
ASAMM rozwiązuje luki w istniejących frameworkach, zapewniając coverage dla agentowych powierzchni ataku. Wdrożenie minimalizuje ryzyka w środowiskach produkcyjnych z autonomicznymi agentami.
— Editorial Team
Brak komentarzy.