Agentic SAMM:安全智能体系统开发框架
Agentic SAMM(ASAMM)是对 OWASP SAMM 的扩展,专为智能体系统设计。在该框架中,软件开发生命周期(SDLC)从线性循环演变为螺旋式循环。每轮螺旋都会返回设计、实现和验证阶段,但威胁模型会根据工具和环境的变化进行更新。该框架针对威胁分类进行处理:上下文作为控制平面(智能体可读取的任何内容都可能变成命令)、工具调用作为安全边界,以及自治窗口作为潜在损害的时间半径。
借鉴 NATO STANAG 的双轴信任模型,适用于智能体、工具、MCP 服务器和上下文源。信任级别从 A1(完全权限)到 F6(仅隔离执行),严格执行交互规则。
设计原则与 17 项控制措施
设计遵循 Auftragstaktik(任务型指挥)原则:系统提示设定意图(Auftrag),而非僵化的算法。这使智能体能够灵活适应,正如毛奇所言:“没有计划能经受住与敌人的首次接触。”
ASAMM 在 SAMM 的 5 大职能中提供了 17 项控制措施,并映射到 NIST AI RMF 和 NCSC。提供两种实施路径:
- 从现有安全程序迁移。
- 新项目从零部署。
该框架开源:人类通过 GitHub Issues 和 PR 贡献,智能体在发现缺口时自动创建工单。
中高级开发者的关键要点
ASAMM 突显了安全领域的范式转变:
- 安全边界已转移:传统 SDLC 保护代码和产物,但忽略上下文流、工具调用、委托权限和运行时行为。
- 上下文即指令:文档、任务跟踪、CI 日志或工具描述都可能转化为命令。除输入验证外,还需上下文来源控制。
- 授权 ≠ 任务对齐:全权限智能体可能偏离目标,绕过传统控制。
- 时间作为风险因素:自治窗口乘以工具半径,定义潜在影响范围。
- 开发环境即攻击面:IDE 插件、MCP 服务器、pre-commit 钩子和 CI 代理都需要威胁建模。
实践中的常见陷阱
开发者常忽略智能体系统的细微之处。典型失误包括:
- 威胁模型全面,但缺少上下文来源和工具调用路径。
- 代码审查覆盖 100% PR,却忽略提示、工具 schema 和智能体配置。
- DAST 扫描无问题,但未测试对抗性上下文行为。
- 服务账户最小权限,但工具调用缺乏粒度控制。
- SCA 通过,但遗漏框架依赖、MCP 服务器和模型提供商。
最重要的事项
- 螺旋式 SDLC:适应系统和工具演进的威胁模型。
- 威胁分类:聚焦上下文、工具和自治窗口。
- 17 项控制:映射到 NIST AI RMF/NCSC,便于集成。
- 开源:人类和智能体通过 GitHub 贡献。
- GOST R 56939-2024:俄罗斯适配版,映射已就绪。
ASAMM 填补现有框架空白,提供智能体攻击面覆盖。实施后,可最小化生产环境中自主智能体的风险。
— Editorial Team
暂无评论。