返回首页

用于安全智能代理的 Agentic SAMM

Agentic SAMM 扩展了 OWASP SAMM 以适用于智能代理系统,引入了螺旋 SDLC 和威胁分类法。该框架包括 17 项控制措施,与 NIST 和 NCSC 映射,信任模型和 Auftragstaktik 原则。适用于迁移或新项目。

ASAMM:针对智能代理威胁的螺旋 SDLC
Advertisement 728x90

Agentic SAMM:安全智能体系统开发框架

Agentic SAMM(ASAMM)是对 OWASP SAMM 的扩展,专为智能体系统设计。在该框架中,软件开发生命周期(SDLC)从线性循环演变为螺旋式循环。每轮螺旋都会返回设计、实现和验证阶段,但威胁模型会根据工具和环境的变化进行更新。该框架针对威胁分类进行处理:上下文作为控制平面(智能体可读取的任何内容都可能变成命令)、工具调用作为安全边界,以及自治窗口作为潜在损害的时间半径

借鉴 NATO STANAG 的双轴信任模型,适用于智能体、工具、MCP 服务器和上下文源。信任级别从 A1(完全权限)到 F6(仅隔离执行),严格执行交互规则。

设计原则与 17 项控制措施

设计遵循 Auftragstaktik(任务型指挥)原则:系统提示设定意图(Auftrag),而非僵化的算法。这使智能体能够灵活适应,正如毛奇所言:“没有计划能经受住与敌人的首次接触。”

Google AdInline article slot

ASAMM 在 SAMM 的 5 大职能中提供了 17 项控制措施,并映射到 NIST AI RMF 和 NCSC。提供两种实施路径:

  • 从现有安全程序迁移。
  • 新项目从零部署。

该框架开源:人类通过 GitHub Issues 和 PR 贡献,智能体在发现缺口时自动创建工单。

中高级开发者的关键要点

ASAMM 突显了安全领域的范式转变:

Google AdInline article slot
  • 安全边界已转移:传统 SDLC 保护代码和产物,但忽略上下文流、工具调用、委托权限和运行时行为。
  • 上下文即指令:文档、任务跟踪、CI 日志或工具描述都可能转化为命令。除输入验证外,还需上下文来源控制。
  • 授权 ≠ 任务对齐:全权限智能体可能偏离目标,绕过传统控制。
  • 时间作为风险因素:自治窗口乘以工具半径,定义潜在影响范围。
  • 开发环境即攻击面:IDE 插件、MCP 服务器、pre-commit 钩子和 CI 代理都需要威胁建模。

实践中的常见陷阱

开发者常忽略智能体系统的细微之处。典型失误包括:

  • 威胁模型全面,但缺少上下文来源和工具调用路径。
  • 代码审查覆盖 100% PR,却忽略提示、工具 schema 和智能体配置。
  • DAST 扫描无问题,但未测试对抗性上下文行为。
  • 服务账户最小权限,但工具调用缺乏粒度控制。
  • SCA 通过,但遗漏框架依赖、MCP 服务器和模型提供商。

最重要的事项

  • 螺旋式 SDLC:适应系统和工具演进的威胁模型。
  • 威胁分类:聚焦上下文、工具和自治窗口。
  • 17 项控制:映射到 NIST AI RMF/NCSC,便于集成。
  • 开源:人类和智能体通过 GitHub 贡献。
  • GOST R 56939-2024:俄罗斯适配版,映射已就绪。

ASAMM 填补现有框架空白,提供智能体攻击面覆盖。实施后,可最小化生产环境中自主智能体的风险。

— Editorial Team

Google AdInline article slot
Advertisement 728x90

继续阅读