Gå till huvudinnehållet

Säkerhet för autonom AI: OWASP Agentic Top 10 och kopplingar till verkliga CVE-rapporter

17 april 2026
Andrew Heller
Raúl Redondo, senior ingenjör för motståndssimulering I Andrew Heller, marknadschef

Integreringen av artificiell intelligens i företagsmiljöer övergår i snabb takt från statiska stora språkmodeller (LLM) till autonoma agentsystem. Till skillnad från äldre LLM-applikationer som ger ett enda, linjärt och reaktivt svar är agentbaserade applikationer autonoma och proaktiva. De delar självständigt upp mål i deluppgifter, anropar externa verktyg, upprätthåller ett beständigt minne mellan sessioner och samordnar med andra agenter.

Som John Sotiropoulos, medledare för OWASP ASI, konstaterade: ”När AI började agera förändrades säkerhetslandskapet för alltid”. För närvarande använder 84 % av utvecklarna AI-kodningsverktyg (Stack Overflow). Men med tanke på att 35 % av AI-incidenterna orsakas av enkla uppmaningar innebär denna arkitektoniska förändring en helt ny hotbild.

För att åtgärda detta har Lares, Damovos avdelning för adversarial- och cybersäkerhetsrådgivning, har kopplat de nya OWASP Agentic Top 10- standarderna till verkliga Common Vulnerabilities and Exposures (CVE) och defensiva riktlinjer.

Förändringen i hotbilden: Chatbots kontra kundtjänstmedarbetare

Standardiserade säkerhetskontroller som är utformade för konversationsbaserad AI är otillräckliga för autonoma system. Den autonoma cykeln av planering, hämtning och utförande skapar dynamiska nya attackvektorer.

Varje verktyg som en agent har tillgång till utgör en potentiell sårbarhet, varje minnespost kan förgiftas permanent och varje meddelande mellan agenter är en potentiell attackvektor som kräver strikta kontroller.

OWASP Agentic Top 10: Fullständig kartläggning av hot

För att effektivt kunna utforma hotmodeller för agentbaserade lösningar måste säkerhetsteamen överbrygga klyftan mellan AI-specifikt beteende och traditionell sårbarhetshantering. Nedan följer en fullständig kartläggning av riskerna inom OWASP Agentic Security Initiative (ASI), tillsammans med verkliga CVE-rapporter och utnyttjandevägar som identifierats genom Lares forskning om angreppsscenarier.

Fas 1: Mål, verktyg och identiteter

Denna kategori ser till att lagen är ärliga när det gäller vad agenterna faktiskt kan göra och vilka de utger sig för att vara.

ASI01: Kapning av agentens mål

Porten till alla andra sårbarheter. Angripare manipulerar mål eftersom agenter inte på ett tillförlitligt sätt kan skilja legitima instruktioner från innehåll som kontrolleras av angripare.

  • Sårbarheten: Angripare bäddar in dolda instruktioner för att i det tysta åsidosätta en agents mål, vilket leder till dataexfiltrering utan att användaren behöver klicka.

  • CVE-mappning: CVE-2025-64660 (GitHub Copilot) och CVE-2025-61590 (Cursor).

ASI02: Felaktig användning och missbruk av verktyg

Användare som agerar inom ramen för sina behörigheter kan använda legitima verktyg på ett osäkert sätt.

  • Sårbarheten: En agent kedjar samman PowerShell- och cURL-kommandon med giltiga inloggningsuppgifter, vilket möjliggör dataexfiltrering som helt kringgår EDR-detektering.

  • CVE-kartläggning: CVE-2025-8217 (Amazon Q).

ASI03: Identitets- och behörighetsmissbruk

En arkitektonisk diskrepans mellan användarcentrerade identitetssystem och agentbaserad design. Agenter verkar i ett attributionsgap som gör det omöjligt att genomdriva verklig minsta behörighet.

  • Sårbarheten: Angripare utnyttjar dynamiskt förtroende för att eskalera åtkomst med hjälp av icke-mänskliga identiteter (NHI).

  • CVE-mappning: CVE-2025-32711 (Microsoft 365 Copilot).

Fas 2: Leveranskedja och minne

Leveranskedjan och minnet är alltid en del av processen. Säkerhetsteamen måste kontrollera allt.

ASI04: Sårbarheter i leverantörskedjan som orsakas av aktörer

Agentbaserade ekosystem laddar dynamiskt externa verktyg och agentprofiler under körning. Detta skapar en levande försörjningskedja som sprider sårbarheter.

  • Kartläggning av incidenter: The Postmark MCP -attacken mot leveranskedjan, där en skadlig server som utgav sig för att vara ett legitimt verktyg laddades vid körning för att i hemlighet skicka e-postmeddelanden med BCC till en angripare.

ASI05: Oväntad kodkörning (RCE)

Vibes kodningsverktyg och agentbaserade system genererar och kör kod i realtid.

  • Sårbarheten: Angripare kringgår sandbox-miljön för att köra kod på distans. För att mildra effekterna krävs ett förbud eval() funktioner och osäkra deserialiserare.

  • CVE-referens: CVE-2025-53773 (GitHub Copilot).

ASI06: Minne- och kontextförgiftning

Motståndare förvränger den lagrade kontexten, vilket leder till att framtida slutsatser blir partiska.

  • Sårbarheten: Angripare placerar ut skadlig data. Det skadade sammanhanget överlever återställningar av sessionen, vilket kräver kryptografisk spårning av ursprung för att upptäcka.

  • CVE-kartläggning: CVE-2025-54136 (Cursor IDE).

Fas 3: Beteende på systemnivå

När agenterna kommunicerar med varandra uppstår en kedjereaktion av fel i stor skala.

ASI07: Osäker kommunikation mellan agenter

Multiagent-system är beroende av kontinuerlig kommunikation. Utan semantisk validering eller ömsesidig autentisering kan angripare avlyssna och manipulera meddelanden.

  • CVE-kartläggning: CVE-2025-52882 (Claude Code).

ASI08: Kedjereaktioner:

Ett enda fel sprider sig och förvärras till skador som drabbar hela systemet. Eftersom agenterna agerar autonomt kringgår fel stegvisa mänskliga kontroller och kräver testning med digitala tvillingar för att säkert kunna hanteras.

Fas 4: Människor och styrning

Att åter sätta människor och fasta policyverktyg i fokus.

ASI09: Utnyttjande av förtroendet mellan människa och agent

Agenter skapar starkt förtroende genom sin flytande användning av naturligt språk och antropomorfism. Angripare utnyttjar denna automatiseringsbias för att manipulera människor till att utföra den slutliga granskade åtgärden, vilket gör agentens roll osynlig för forensisk analys.

ASI10: Avvikande agenter

Komprometterade agenter avviker från sitt avsedda användningsområde, vilket skapar en lucka i säkerhetsskyddet för traditionella regelbaserade övervakningssystem. För att hantera skadliga agenter krävs beteendecertifikat och oberoende övervakningsagenter.

Handlingsplanen i fem steg

För att överbrygga klyftan mellan den snabba införandet av AI och säkerhet i företagsklass rekommenderar vi att ni anpassar era skyddsåtgärder efter Zero Trust-principen: att utforma system med feltolerans som utgår från att vilken komponent som helst kan sluta fungera eller utsättas för intrång.

Organisationer bör omedelbart genomföra följande handlingsplan i fem steg:

  1. Upptäck och inventera: Kartlägg alla AI-agenter, MCP-servrar, icke-mänskliga identiteter (NHI) och verktyg.

  2. Hotmodell med ASI: Använd ASI01 till ASI10 som en checklista inför specifika agentinstallationer innan ni går till produktion.

  3. Tillämpa principen om minsta möjliga handlingsutrymme: Bevilja endast den minimala autonomi som behövs. Använd kortvariga behörigheter och Just-In-Time (JIT)-åtkomst.

  4. Skapa nödstopp: Implementera säkerhetsbrytare mellan arbetsflöden, begränsningar för sprängradien och nödstoppsmekanismer som testas regelbundet.

  5. Övervaka och reagera: Uppnå djupgående insyn i agenternas beteende med hjälp av övervakningsagenter, distribuerad spårning och AI-specifika handlingsplaner för incidenthantering.

Utvärdera din AI-attackyta

För att kunna implementera autonoma agenter krävs en övergång från filtrering av utdata till validering av avsikter och strikta gränser för utförandet. Om din organisation utvecklar eller testar agentbaserade AI-system, kontakta Damovos rådgivarteam. Vi kan hjälpa dig att införa styrning med minsta möjliga autonomi, testa nödstopp för att förhindra kedjereaktioner av fel samt boka ett inledande samtal för att fastställa vilken testfas som passar bäst för just din miljö.

Prata med våra experter
Begär en exempelrapport
Gå med i Damovos e-postlista med över 10 000 medlemmar för att få de senaste insikterna och exklusivt innehåll.
Prenumerera nu