Powrót do strony głównej

Ochrona aplikacji agentowych OWASP Top 10

Artykuł analizuje OWASP Agentic Top 10 2026 do ochrony aplikacji agentowych. Model Lethal Trifecta identyfikuje ryzyka kombinacji prywatnych danych, niezaufanej treści i zewnętrznych kanałów. Podane są środki przeciwdziałające, scenariusze i roadmap wdrożenia.

OWASP Top 10 dla systemów agentowych: model Trifecta
Advertisement 728x90

Bezpieczeństwo aplikacji agentywnych: OWASP Top 10 i model Lethal Trifecta

Aplikacje agentywne realizują planowanie, wywoływanie narzędzi, przechowywanie pamięci oraz interakcje między agentami z potencjalnymi skutkami ubocznymi. Bezpieczeństwo wymaga kontroli granic zaufania, minimalizacji autonomiczności i weryfikacji architektury. OWASP Agentic Top 10 2026 wyróżnia kluczowe zagrożenia, a model Lethal Trifecta ujawnia katastrofalne kombinacje: dane prywatne + niezaufana zawartość + komunikacja zewnętrzna.

Model Lethal Trifecta do audytu

Trifecta to checklista do identyfikacji ryzyk: obecność danych prywatnych (bazy danych, tajemnice), konsumpcja niezaufanego treści (strony internetowe, e-maile) oraz kanały zewnętrzne (HTTP, e-maile). Jeśli wszystkie trzy elementy występują, to niejawne wstrzyknięcie poleceń prowadzi do wycieków. Strategia: zerwać przynajmniej jedną połączenie lub wprowadzić surową kontrolę.

  • Dane prywatne: dostęp JIT, krótkoterminowe tokeny, minimalizacja danych.
  • Komunikacja zewnętrzna: listy dozwolonych domen, DLP, HITL dla publikacji.
  • Niezaufana treść: oznaczanie źródeł, rozdzielenie danych i sterowania, brama polityczna.
  • Pamięć stała: TTL, ocena zaufania, przestrzenie nazw na potrzeby użytkownika.

Sprawdzaj Trifecta podczas przeglądu: jeśli dostępy są bez ograniczeń, zmień architekturę.

Google AdInline article slot

OWASP Agentic Top 10: zagrożenia i środki zaradcze

ASI01 Zaburzenie celu agenta. Atak: niejawne wstrzyknięcie poprzez wynik narzędzia. Ochrona: brama polityczna, zatwierdzenie dla działań wysokiego wpływu, logi odchylenia celu, oznaczenie źródła.

ASI02 Niewłaściwe używanie narzędzi. Atak: szkodliwe parametry w łańcuchach. Ochrona: lista dozwolonych narzędzi, ograniczenia promieni działania, korelacja łańcuchów.

ASI03 Naruszenie tożsamości. Atak: ponowne użycie tokenów, uprawnienia transitive. Ochrona: tokeny JIT, uprawnienia w zakresie zadania, ponowna walidacja.

Google AdInline article slot

ASI04 Środowisko dostawcy. Atak: naruszenie opisu. Ochrona: pinowanie wersji, podpisywanie artefaktów, lista dozwolonych źródeł.

ASI05 Nieoczekiwane RCE. Atak: wstrzyknięcie eval. Ochrona: izolacja wykonania, domyślnie brak dostępu do sieci, rozdzielenie generowania i wykonania.

Głęboka analiza zagrożeń pamięci i komunikacji

ASI06 Zatruwanie pamięci. Atak: zatruwanie RAG do długotrwałego wpływu. Ochrona: segmentacja użytkowników, TTL, cofnięcie do stanu kwarantanny.

Google AdInline article slot

ASI07 Wzajemne działanie agentów. Atak: podszywanie się, powtarzanie. Ochrona: mTLS, podpisywanie wiadomości, nonce/timestamp.

ASI08 Kaskadowe awarie. Atak: propagacja błędów. Ochrona: rozdzielenie planisty i wykonawcy, wyłączniki, log linii pochodzenia.

ASI09 Zaufanie człowieka. Atak: nadużywanie zgody. Ochrona: różne zatwierdzenia, wieloetapowe potwierdzenia.

ASI10 Agent zdradziecki. Atak: odchylenie celu. Ochrona: przełącznik zatrzymania, bazy zachowań, okresowe przeglądy.

Punkty wejściowe: dane użytkownika, RAG, narzędzia. Planowanie określa cele, pamięć — poziom zaufania, komunikacja międzyagentowa — protokoły.

Typowe scenariusze w środowisku produkcyjnym

Agent korporacyjny do obsługi poczty/dokumentów (ASI01–03,09).

Ryzyka: e-mail jako instrukcja, dziedziczenie uprawnień, uprzedzenia operatora.

Środki zaradcze:

  • Oddziel czytanie od działania.
  • Jawne zatwierdzenie wyjściowe.
  • Śledzenie linii działania.

Agent RAG z bazą wiedzy (ASI06,08).

Ryzyka: niezaufane pobieranie, stopniowe zatruwanie.

Środki zaradcze:

  • Ocena zaufania oparta na źródle.
  • TTL i cofnięcie.
  • Izolacja użytkowników.

Orkiestrator narzędzi (ASI02,04,05,07,10).

Ryzyka: szkodliwe wywołania narzędzi, łańcuch dostaw, kaskady.

Środki zaradcze:

  • Listy dozwolonych operacji na każde narzędzie.
  • Sprawdzenie pochodzenia.
  • Kwoty i bramy polityczne.

Plan wdrożenia

Etap 1: Inwentaryzacja (Trifecta), blokada wyjścia, włączenie audytu.

Etap 2: Brama polityczna, tokeny JIT, zatwierdzenia dla działań wysokiego wpływu.

Etap 3: Segmentacja pamięci, śledzenie linii pochodzenia, reakcja na incydenty (przełącznik zatrzymania).

Kolejność zmniejsza ryzyko etapowo bez pełnej rekonstrukcji.

Co jest ważne

  • Trifecta rozrywa krytyczne łańcuchy: minimalizuj przynajmniej jeden czynnik.
  • OWASP Top 10 skupia się na przejściach danych → polecenia → działania.
  • Detektory wstrzyknięć to uzupełnienie, nie podstawa; priorytet ma architektura.
  • Monitorowanie linii pochodzenia i anomalii jest obowiązkowe dla ryzyk kaskadowych.
  • Bazy zachowań i przełączniki zatrzymania — do sytuacji zdradzieckich.

— Editorial Team

Advertisement 728x90

Czytaj dalej