Bezpieczeństwo aplikacji agentywnych: OWASP Top 10 i model Lethal Trifecta
Aplikacje agentywne realizują planowanie, wywoływanie narzędzi, przechowywanie pamięci oraz interakcje między agentami z potencjalnymi skutkami ubocznymi. Bezpieczeństwo wymaga kontroli granic zaufania, minimalizacji autonomiczności i weryfikacji architektury. OWASP Agentic Top 10 2026 wyróżnia kluczowe zagrożenia, a model Lethal Trifecta ujawnia katastrofalne kombinacje: dane prywatne + niezaufana zawartość + komunikacja zewnętrzna.
Model Lethal Trifecta do audytu
Trifecta to checklista do identyfikacji ryzyk: obecność danych prywatnych (bazy danych, tajemnice), konsumpcja niezaufanego treści (strony internetowe, e-maile) oraz kanały zewnętrzne (HTTP, e-maile). Jeśli wszystkie trzy elementy występują, to niejawne wstrzyknięcie poleceń prowadzi do wycieków. Strategia: zerwać przynajmniej jedną połączenie lub wprowadzić surową kontrolę.
- Dane prywatne: dostęp JIT, krótkoterminowe tokeny, minimalizacja danych.
- Komunikacja zewnętrzna: listy dozwolonych domen, DLP, HITL dla publikacji.
- Niezaufana treść: oznaczanie źródeł, rozdzielenie danych i sterowania, brama polityczna.
- Pamięć stała: TTL, ocena zaufania, przestrzenie nazw na potrzeby użytkownika.
Sprawdzaj Trifecta podczas przeglądu: jeśli dostępy są bez ograniczeń, zmień architekturę.
OWASP Agentic Top 10: zagrożenia i środki zaradcze
ASI01 Zaburzenie celu agenta. Atak: niejawne wstrzyknięcie poprzez wynik narzędzia. Ochrona: brama polityczna, zatwierdzenie dla działań wysokiego wpływu, logi odchylenia celu, oznaczenie źródła.
ASI02 Niewłaściwe używanie narzędzi. Atak: szkodliwe parametry w łańcuchach. Ochrona: lista dozwolonych narzędzi, ograniczenia promieni działania, korelacja łańcuchów.
ASI03 Naruszenie tożsamości. Atak: ponowne użycie tokenów, uprawnienia transitive. Ochrona: tokeny JIT, uprawnienia w zakresie zadania, ponowna walidacja.
ASI04 Środowisko dostawcy. Atak: naruszenie opisu. Ochrona: pinowanie wersji, podpisywanie artefaktów, lista dozwolonych źródeł.
ASI05 Nieoczekiwane RCE. Atak: wstrzyknięcie eval. Ochrona: izolacja wykonania, domyślnie brak dostępu do sieci, rozdzielenie generowania i wykonania.
Głęboka analiza zagrożeń pamięci i komunikacji
ASI06 Zatruwanie pamięci. Atak: zatruwanie RAG do długotrwałego wpływu. Ochrona: segmentacja użytkowników, TTL, cofnięcie do stanu kwarantanny.
ASI07 Wzajemne działanie agentów. Atak: podszywanie się, powtarzanie. Ochrona: mTLS, podpisywanie wiadomości, nonce/timestamp.
ASI08 Kaskadowe awarie. Atak: propagacja błędów. Ochrona: rozdzielenie planisty i wykonawcy, wyłączniki, log linii pochodzenia.
ASI09 Zaufanie człowieka. Atak: nadużywanie zgody. Ochrona: różne zatwierdzenia, wieloetapowe potwierdzenia.
ASI10 Agent zdradziecki. Atak: odchylenie celu. Ochrona: przełącznik zatrzymania, bazy zachowań, okresowe przeglądy.
Punkty wejściowe: dane użytkownika, RAG, narzędzia. Planowanie określa cele, pamięć — poziom zaufania, komunikacja międzyagentowa — protokoły.
Typowe scenariusze w środowisku produkcyjnym
Agent korporacyjny do obsługi poczty/dokumentów (ASI01–03,09).
Ryzyka: e-mail jako instrukcja, dziedziczenie uprawnień, uprzedzenia operatora.
Środki zaradcze:
- Oddziel czytanie od działania.
- Jawne zatwierdzenie wyjściowe.
- Śledzenie linii działania.
Agent RAG z bazą wiedzy (ASI06,08).
Ryzyka: niezaufane pobieranie, stopniowe zatruwanie.
Środki zaradcze:
- Ocena zaufania oparta na źródle.
- TTL i cofnięcie.
- Izolacja użytkowników.
Orkiestrator narzędzi (ASI02,04,05,07,10).
Ryzyka: szkodliwe wywołania narzędzi, łańcuch dostaw, kaskady.
Środki zaradcze:
- Listy dozwolonych operacji na każde narzędzie.
- Sprawdzenie pochodzenia.
- Kwoty i bramy polityczne.
Plan wdrożenia
Etap 1: Inwentaryzacja (Trifecta), blokada wyjścia, włączenie audytu.
Etap 2: Brama polityczna, tokeny JIT, zatwierdzenia dla działań wysokiego wpływu.
Etap 3: Segmentacja pamięci, śledzenie linii pochodzenia, reakcja na incydenty (przełącznik zatrzymania).
Kolejność zmniejsza ryzyko etapowo bez pełnej rekonstrukcji.
Co jest ważne
- Trifecta rozrywa krytyczne łańcuchy: minimalizuj przynajmniej jeden czynnik.
- OWASP Top 10 skupia się na przejściach danych → polecenia → działania.
- Detektory wstrzyknięć to uzupełnienie, nie podstawa; priorytet ma architektura.
- Monitorowanie linii pochodzenia i anomalii jest obowiązkowe dla ryzyk kaskadowych.
- Bazy zachowań i przełączniki zatrzymania — do sytuacji zdradzieckich.
— Editorial Team
Brak komentarzy.