Wdrażanie sztucznej inteligencji w przedsiębiorstwach szybko przechodzi od statycznych dużych modeli językowych (LLM) do autonomicznych systemów opartych na agentach. W przeciwieństwie do starszych aplikacji LLM, które zapewniają pojedynczą, liniową i reaktywną odpowiedź, aplikacje oparte na agentach są autonomiczne i proaktywne. Samodzielnie dzielą cele na podzadania, uruchamiają narzędzia zewnętrzne, zachowują pamięć między sesjami oraz koordynują działania z innymi agentami.
Jak stwierdził John Sotiropoulos, współprzewodniczący grupy OWASP ASI: „Gdy sztuczna inteligencja zaczęła podejmować działania, charakter bezpieczeństwa zmienił się na zawsze”. Obecnie 84% programistów korzysta z narzędzi do kodowania opartych na sztucznej inteligencji (Stack Overflow). Jednak biorąc pod uwagę, że 35% incydentów związanych ze sztuczną inteligencją spowodowanych jest prostymi poleceniami, ta zmiana architektury wprowadza zasadniczo nowy model zagrożeń.
Aby rozwiązać ten problem, Lares, dział firmy Damovo zajmujący się testami penetracyjnymi i doradztwem w zakresie cyberbezpieczeństwa, przyporządkował powstające standardy OWASP Agentic Top 10 do rzeczywistych wspólnych podatności i zagrożeń (CVE) oraz podstawowych standardów obrony.
Zmiana charakteru zagrożeń: chatboty kontra konsultanci
Standardowe środki bezpieczeństwa opracowane z myślą o konwersacyjnej sztucznej inteligencji są niewystarczające w przypadku systemów autonomicznych. Autonomiczna pętla planowania, pobierania i wykonywania tworzy nowe, dynamiczne wektory ataku.
Każde narzędzie, do którego agent ma dostęp, stanowi potencjalną ścieżkę ataku, każdy wpis w pamięci może zostać trwale zmanipulowany, a każda wiadomość między agentami jest potencjalnym wektorem ataku, który wymaga ścisłej kontroli.
Lista 10 największych zagrożeń OWASP Agentic: Kompletna mapa zagrożeń
Aby skutecznie modelować zagrożenia związane z wdrożeniami agentowymi, zespoły ds. bezpieczeństwa muszą wypełnić lukę między zachowaniami charakterystycznymi dla sztucznej inteligencji a tradycyjnym zarządzaniem podatnościami. Poniżej znajduje się pełne zestawienie zagrożeń określonych w ramach inicjatywy OWASP Agentic Security Initiative (ASI) wraz z rzeczywistymi numerami CVE i ścieżkami wykorzystania luk zidentyfikowanymi w ramach badań nad atakami przeprowadzonych przez firmę Lares.
Etap 1: Cele, narzędzia i tożsamość
Ta kategoria sprawia, że zespoły uczciwie informują o tym, co agenci faktycznie potrafią i za kogo się podają.
ASI01: Przejęcie celu przez agenta
Brama do wszystkich pozostałych luk w zabezpieczeniach. Atakujący manipulują celami, ponieważ agenci nie są w stanie niezawodnie odróżnić prawidłowych instrukcji od treści kontrolowanych przez atakującego.
-
Wykorzystanie luki: Atakujący osadzają ukryte instrukcje, aby w sposób niezauważalny zmienić cele agenta, co prowadzi do wycieku danych bez konieczności kliknięcia.
-
Mapowanie numerów CVE: CVE-2025-64660 (GitHub Copilot) i CVE-2025-61590 (Cursor).
ASI02: Niewłaściwe użycie i nadużywanie narzędzi
Użytkownicy działający w ramach przyznanych uprawnień mogą wykorzystywać legalne narzędzia w niebezpieczny sposób.
-
Sposób ataku: Agent łączy polecenia PowerShell i cURL przy użyciu prawidłowych poświadczeń, umożliwiając wyciek danych, który całkowicie omija wykrywanie przez EDR.
-
Mapowanie CVE: CVE-2025-8217 (Amazon Q).
ASI03: Nadużycia związane z tożsamością i uprawnieniami
Rozbieżność architektoniczna między systemami tożsamości zorientowanymi na użytkownika a projektowaniem opartym na podmiotowości. Agenci działają w luce atrybucji, która uniemożliwia egzekwowanie zasady minimalnych uprawnień.
-
Sposób ataku: Atakujący wykorzystują zaufanie dynamiczne do eskalacji uprawnień przy użyciu tożsamości nie-ludzkich (NHI).
-
Mapowanie CVE: CVE-2025-32711 (Microsoft 365 Copilot).
Etap 2: Łańcuch dostaw i pamięć
Łańcuch dostaw i pamięć są zawsze w pętli. Zespoły ds. bezpieczeństwa muszą wszystko weryfikować.
ASI04: Luki w zabezpieczeniach łańcucha dostaw związane z podmiotami
Ekosystemy agentowe dynamicznie ładują narzędzia zewnętrzne i profile agentów w czasie wykonywania. Tworzy to aktywny łańcuch dostaw, który kaskadowo przenosi podatności.
-
Mapowanie zdarzeń: Data Postmark MCP , w którym złośliwy serwer podszywający się pod legalne narzędzie został załadowany w czasie wykonywania w celu potajemnego wysyłania wiadomości e-mail z ukrytym kopią do atakującego.
ASI05: Nieoczekiwane wykonanie kodu (RCE)
Narzędzia do kodowania Vibe oraz systemy agentowe generują i wykonują kod w czasie rzeczywistym.
-
Sposób ataku: Atakujący omijają mechanizm sandboxingu, aby wykonać kod zdalnie. Środki ograniczające wymagają wprowadzenia zakazu
eval()funkcje i niebezpieczne deserializatory. -
Mapowanie CVE: CVE-2025-53773 (GitHub Copilot).
ASI06: Zatrucie pamięci i kontekstu
Przeciwnicy fałszują zapisany kontekst, co powoduje, że późniejsze wnioskowanie staje się stronnicze.
-
Sposób ataku: Atakujący wprowadzają złośliwe dane. Uszkodzony kontekst przetrwa reset sesji, co wymaga kryptograficznego śledzenia pochodzenia w celu wykrycia.
-
Mapowanie CVE: CVE-2025-54136 (Cursor IDE).
Faza 3: Zachowanie na poziomie systemu
Kiedy agenci komunikują się między sobą, dochodzi do lawinowych awarii na dużą skalę.
ASI07: Niebezpieczna komunikacja między agentami
Systemy wieloagentowe opierają się na ciągłej komunikacji. Bez walidacji semantycznej lub wzajemnego uwierzytelniania osoby atakujące przechwytują i manipulują wiadomościami.
-
Mapowanie CVE: CVE-2025-52882 (Claude Code).
ASI08: Awarie kaskadowe:
Pojedyncza usterka rozprzestrzenia się i powoduje szkody w całym systemie. Ponieważ agenci działają autonomicznie, błędy omijają stopniowe kontrole ludzkie i wymagają testów odtwarzania w cyfrowym bliźniaku, aby bezpiecznie je złagodzić.
Faza 4: Ludzie i zarządzanie
Ponowne uwzględnienie czynnika ludzkiego i sztywnych mechanizmów polityki.
ASI09: Wykorzystywanie relacji zaufania między człowiekiem a agentem
Agenci budują silne zaufanie dzięki biegłej znajomości języka naturalnego i antropomorfizmowi. Atakujący wykorzystują tę skłonność do automatyzacji, aby manipulować ludźmi i skłonić ich do wykonania ostatecznej, podlegającej audytowi czynności, co sprawia, że rola agenta staje się niewidoczna dla ekspertów kryminalistycznych.
ASI10: Nieposłuszni agenci
Zainfekowane agenty wykraczają poza swój pierwotny zakres działania, powodując lukę w zabezpieczeniach tradycyjnych systemów monitorowania opartych na regułach. Ograniczanie szkodliwych agentów wymaga certyfikatów zachowania i niezależnych agentów nadzorujących.
5-etapowy plan działania oparty na podejściu agentycznym
Aby wypełnić lukę między szybkim wdrażaniem sztucznej inteligencji a zabezpieczeniami na poziomie korporacyjnym, zalecamy dostosowanie systemów ochronnych do podstawowej zasady modelu Zero Trust: projektowanie z uwzględnieniem odporności na awarie, zakładające możliwość awarii lub wykorzystania luki w dowolnym komponencie.
Organizacje powinny niezwłocznie wdrożyć poniższy 5-etapowy plan działania:
-
Wykrywanie i inwentaryzacja: Zmapuj wszystkie agenty AI, serwery MCP, tożsamości nie-ludzkie (NHI) oraz narzędzia.
-
Model zagrożeń z wykorzystaniem ASI: Przed przejściem do środowiska produkcyjnego należy wykorzystać ASI01–ASI10 jako listę kontrolną dotyczącą konkretnych wdrożeń agentów.
-
Zastosuj zasadę minimalnej autonomii: Przyznaj tylko minimalną niezbędną autonomię. Należy stosować krótkotrwałe poświadczenia i dostęp Just-In-Time (JIT).
-
Wprowadź mechanizmy awaryjne: Wprowadź wyłączniki awaryjne między przepływami pracy, ograniczenia zasięgu wybuchu oraz mechanizmy zatrzymania awaryjnego, które są regularnie testowane.
-
Monitorowanie i reagowanie: Zapewnij dogłębną obserwowalność zachowań agentów przy użyciu agentów watchdog, śledzenia rozproszonego oraz scenariuszy reagowania na incydenty specyficznych dla sztucznej inteligencji.
Oceń powierzchnię ataku swojej sztucznej inteligencji
Wdrażanie autonomicznych agentów wymaga przejścia od filtrowania wyników do weryfikacji intencji oraz ustanowienia ścisłych granic działania. Jeśli Twoja organizacja tworzy lub testuje systemy sztucznej inteligencji oparte na agentach, skontaktuj się z zespołem doradczym Damovo. Pomożemy Ci wdrożyć model zarządzania oparty na minimalnej autonomii, przetestować mechanizmy awaryjne zapobiegające łańcuchowym awariom oraz umówić się na rozmowę w celu określenia odpowiedniego etapu testowania dla Twojego środowiska.