Tekoälyn integrointi yrityskäyttöön on siirtymässä nopeasti staattisista suurista kielimalleista (LLM) kohti itsenäisiä agenttipohjaisia järjestelmiä. Toisin kuin vanhat LLM-sovellukset, jotka antavat yhden, lineaarisen ja reaktiivisen vastauksen, agenttisovellukset ovat itsenäisiä ja ennakoivia. Ne jakavat tavoitteet itsenäisesti osatehtäviin, käyttävät ulkoisia työkaluja, ylläpitävät pysyvää muistia istuntojen välillä ja koordinoivat toimintaansa muiden agenttien kanssa.
Kuten OWASP ASI:n toinen johtaja John Sotiropoulos totesi: ”Kun tekoäly alkoi toimia, tietoturvan luonne muuttui ikuisesti”. Tällä hetkellä 84 % kehittäjistä käyttää tekoälypohjaisia koodaustyökaluja (Stack Overflow). Koska 35 % tekoälyyn liittyvistä turvallisuusvälikohtauksista johtuu yksinkertaisista kehotteista, tämä arkkitehtoninen muutos tuo mukanaan täysin uudenlaisen uhkamallin.
Tämän ongelman ratkaisemiseksi Lares, Damovon vastakkainasettelu- ja kyberturvallisuusneuvontayksikkö, on kartoittanut uudet OWASP Agentic Top 10 -standardit vastaamaan todellisia yleisiä haavoittuvuuksia ja altistumisia (CVE) sekä puolustuksellisia lähtökohtia.
Uhkan luonne muuttuu: chatbotit vastaan asiakaspalvelijat
Keskustelevaa tekoälyä varten suunnitellut vakioturvatoimenpiteet eivät riitä agenttijärjestelmille. Suunnittelun, tiedonhaun ja toteutuksen muodostama itsenäinen silmukka luo dynaamisia uusia hyökkäysvektoreita.
Jokainen työkalu, johon agentti pääsee käsiksi, on potentiaalinen haavoittuvuus, jokainen muistipaikka voidaan saastuttaa pysyvästi, ja jokainen agenttien välinen viesti on potentiaalinen hyökkäysväylä, jota on valvottava tiukasti.
OWASP Agentic Top 10: kattava uhkien kartoitus
Jotta agenttipohjaisten ratkaisujen uhkamallinnus olisi tehokasta, tietoturvatiimien on kurottava umpeen kuilu tekoälyyn liittyvän käyttäytymisen ja perinteisen haavoittuvuuksien hallinnan välillä. Alla on esitetty OWASP Agentic Security Initiative (ASI) -aloitteen riskien täydellinen kartoitus sekä Laresin hyökkäystutkimuksessa tunnistetut todelliset CVE-haavoittuvuudet ja hyökkäysreitit.
Vaihe 1: Tavoitteet, työkalut ja identiteetit
Tämä kategoria varmistaa, että joukkueet pysyvät rehellisinä siitä, mihin agentit todella kykenevät ja keitä he väittävät olevansa.
ASI01: Agentin tavoitteen kaappaus
Portti kaikkiin muihin haavoittuvuuksiin. Hyökkääjät manipuloivat kohteita, koska agentit eivät pysty luotettavasti erottamaan laillisia ohjeita hyökkääjän hallitsemasta sisällöstä.
-
Hyökkäysmenetelmä: Hyökkääjät upottavat piilotettuja ohjeita ohittaakseen agentin tavoitteet huomaamatta, mikä johtaa nollaklikkiseen tietojen vuotamiseen.
-
CVE-vastaavuudet: CVE-2025-64660 (GitHub Copilot) ja CVE-2025-61590 (Cursor).
ASI02: Työkalujen väärinkäyttö ja hyväksikäyttö
Valtuuksien puitteissa toimivat käyttäjät voivat käyttää laillisia työkaluja vaarallisella tavalla.
-
Hyökkäysmenetelmä: Agentti ketjuttaa PowerShell- ja cURL-komentoja kelvollisilla tunnistetiedoilla, mikä mahdollistaa tietojen vuotamisen ohittaen täysin EDR-havaitsemisen.
-
CVE-kartoitus: CVE-2025-8217 (Amazon Q).
ASI03: Tunnistetietojen ja käyttöoikeuksien väärinkäyttö
Käyttäjälähtöisten tunnistusjärjestelmien ja toimijakeskeisen suunnittelun välinen ristiriita. Agentit toimivat attribuutiovajeessa, joka tekee todellisen vähimmäisoikeuksien periaatteen noudattamisen mahdottomaksi.
-
Hyökkäysmenetelmä: Hyökkääjät hyödyntävät dynaamista luottamusta laajentaakseen käyttöoikeuksiaan käyttämällä ei-inhimillisiä identiteettejä (NHI).
-
CVE-kartoitus: CVE-2025-32711 (Microsoft 365 Copilot).
Vaihe 2: Toimitusketju ja muisti
Toimitusketju ja muisti ovat aina mukana kuvioissa. Turvallisuusryhmien on tarkistettava kaikki.
ASI04: Toimijoihin liittyvät toimitusketjun haavoittuvuudet
Agenttipohjaiset ekosysteemit lataavat ulkoisia työkaluja ja agenttirooleja dynaamisesti suorituksen aikana. Tämä luo reaaliaikaisen toimitusketjun, joka välittää haavoittuvuudet eteenpäin.
-
Tapahtumien kartoitus: The Postmark MCP -toimitusketjuhyökkäys, jossa laillista työkalua matkiva haitallinen palvelin ladattiin suorituksen aikana lähettämään salaa sähköposteja piilokopiona hyökkääjälle.
ASI05: Odottamaton koodin suorittaminen (RCE)
Vibe-koodaustyökalut ja agenttipohjaiset järjestelmät tuottavat ja suorittavat koodia reaaliajassa.
-
Hyökkäys: Hyökkääjät kiertävät hiekkalaatikkosuojauksen suorittaakseen etäkäskyjä. Rajoitustoimenpiteet edellyttävät kieltämistä
eval()funktiot ja vaaralliset deserialisaattorit. -
CVE-tunniste: CVE-2025-53773 (GitHub Copilot).
ASI06: Muistin ja kontekstin saastuttaminen
Vastustajat vääristävät tallennettua kontekstia, mikä johtaa siihen, että myöhempi päättely muuttuu puolueelliseksi.
-
Hyökkäys: Hyökkääjät levittävät haitallista dataa. Vioittunut konteksti säilyy istunnon nollaamisen jälkeen, mikä edellyttää kryptografista alkuperän seurantaa sen havaitsemiseksi.
-
CVE-kartoitus: CVE-2025-54136 (Cursor IDE).
Vaihe 3: Järjestelmätason käyttäytyminen
Kun agentit kommunikoivat keskenään, virheet leviävät laajamittaisesti.
ASI07: Turvattomat agenttien väliset yhteydet
Monitoimijajärjestelmät perustuvat jatkuvaan viestintään. Ilman semanttista validointia tai keskinäistä todennusta hyökkääjät sieppaavat ja manipuloivat viestejä.
-
CVE-kartoitus: CVE-2025-52882 (Claude Code).
ASI08: Ketjureaktiot:
Yksi vika leviää ja aiheuttaa koko järjestelmän laajuisia vahinkoja. Koska agentit delegoivat itsenäisesti, virheet ohittavat vaiheittaiset ihmisen suorittamat tarkistukset ja vaativat digitaalisen kaksosen toistotestausta turvallisen lieventämisen varmistamiseksi.
Vaihe 4: Ihmiset ja hallinto
Ihmisten ja joustamattomien toimintamallien ottaminen jälleen huomioon.
ASI09: Ihmisen ja agentin välisen luottamuksen hyväksikäyttö
Agentit luovat vahvan luottamussuhteen luonnollisen kielen sujuvuuden ja antropomorfismin avulla. Hyökkääjät hyödyntävät tätä automaatiovirhettä manipuloidakseen ihmisiä suorittamaan lopullisen tarkastetun toiminnon, jolloin agentin rooli jää huomaamatta rikosteknisten tutkimusten yhteydessä.
ASI10: Kapinalliset agentit
Vaarantuneet agentit poikkeavat aiotusta toimintakentästään, mikä aiheuttaa suojausaukon perinteisissä sääntöihin perustuvissa valvontajärjestelmissä. Rogue-agenttien aiheuttamien riskien hallitseminen edellyttää käyttäytymistodistuksia ja riippumattomia valvonta-agentteja.
Viisivaiheinen toimintasuunnitelma
Jotta voimme kuroa umpeen kuilun tekoälyn nopean käyttöönoton ja yritystason tietoturvan välillä, suosittelemme, että sovitatte puolustusjärjestelmänne Zero Trust -mallin perusperiaatteeseen: suunnitteluun, jossa otetaan huomioon vikasietoisuus ja oletetaan, että mikä tahansa komponentti voi pettää tai joutua hyökkäyksen kohteeksi.
Organisaatioiden tulisi ottaa välittömästi käyttöön seuraava viisivaiheinen toimintasuunnitelma:
-
Löydä ja luetteloi: Kartoita kaikki tekoälyagentit, MCP-palvelimet, ei-ihmismäiset identiteetit (NHI) ja työkalut.
-
Uhkamalli ASI:n avulla: Käytä ASI01–ASI10 tarkistuslistana tiettyjen agenttien käyttöönottoa varten ennen siirtymistä tuotantoympäristöön.
-
Sovelletaan vähimmäisperiaatetta: Myönnä vain tarvittava vähimmäisautonomia. Käytä lyhytaikaisia tunnistetietoja ja Just-In-Time (JIT) -pääsyä.
-
Kehitä hätäkatkaisimia: Asenna työnkulkujen väliin katkaisijat, räjähdysalueen rajoitukset ja hätäpysäytysmekanismit, joita testataan säännöllisesti.
-
Seuranta ja reagointi: Luo kattava näkyvyys agenttien käyttäytymiseen käyttämällä valvonta-agentteja, hajautettua jäljitystä ja tekoälyyn erikoistuneita tapahtumien hallinnan ohjeistoja.
Arvioi tekoälyn hyökkäyskohteet
Autonomisten agenttien käyttöönotto edellyttää siirtymistä tulostuksen suodattamisesta aikomusten vahvistamiseen ja tiukkoihin suoritusrajoihin. Jos organisaatiosi kehittää tai testaa agenttipohjaisia tekoälyjärjestelmiä, ota yhteyttä Damovon neuvontatiimiin. Voimme auttaa sinua ottamaan käyttöön vähimmäisagentti-hallintamallin, testaamaan hätäkatkaisimia ketjureaktioiden estämiseksi sekä sopimaan alustavasta keskustelusta, jossa määritellään ympäristöösi sopiva testausvaihe.