ai-security

OWASP tocmai a publicat Top 10 Riscuri pentru Agenții AI. Iată ce trebuie să faci concret.

Petru Constantin
--7 min lectura
#ai-security#devidevs

OWASP tocmai a publicat Top 10 Riscuri pentru Agenții AI. Iată ce trebuie să faci concret.

Agenții tăi au acces de admin și zero supraveghere

Toate companiile livrează agenți AI în momentul de față. Agenți care îți citesc email-ul. Agenți care interoghează baza de date. Agenți care fac commit-uri, declanșează deploy-uri și trimit mesaje în numele tău.

Și aproape nimeni nu întreabă: ce se întâmplă când agentul e păcălit?

În decembrie 2025, OWASP a publicat Top 10 pentru Aplicații Agentice, construit de peste 100 de cercetători de securitate, ingineri și practicieni. Este prima încercare serioasă de a cataloga ce merge prost când sistemele AI acționează autonom. Dacă construiești sau operezi agenți în producție, acesta e noul tău baseline.

Cele 10 riscuri, fără marketing

Iată lista completă. Fără filler.

| # | Risc | Rezumat într-o frază | |---|------|----------------------| | ASI01 | Agent Goal Hijack | Atacatorul redirecționează obiectivele agentului prin prompt-uri ascunse sau output-uri de tool-uri otrăvite | | ASI02 | Tool Misuse | Agentul transformă tool-uri legitime în operațiuni distructive pentru că are prea multe permisiuni | | ASI03 | Identity & Privilege Abuse | Credențiale furate sau cu scope prea larg permit agentului să opereze mult peste limita intenționată | | ASI04 | Agentic Supply Chain | Servere MCP otrăvite, plugin-uri malițioase, dependențe runtime compromise | | ASI05 | Unexpected Code Execution | Input-uri în limbaj natural declanșează execuție reală de cod prin lanțurile de tool-uri ale agentului | | ASI06 | Memory & Context Poisoning | Context injectat persistă între sesiuni, reformând comportamentul viitor al agentului | | ASI07 | Insecure Inter-Agent Communication | Mesaje falsificate între agenți deviază pipeline-uri multi-agent întregi | | ASI08 | Cascading Failures | Un singur semnal fals se propagă prin pipeline-uri automatizate cu daune în escaladare | | ASI09 | Human-Agent Trust Exploitation | Agentul generează explicații sigure și polisate care păcălesc oamenii să aprobe acțiuni greșite | | ASI10 | Rogue Agents | Agentul deviază de la comportamentul intenționat prin dezaliniere sau ascundere |

Dacă ai lucrat cu listele tradiționale OWASP Top 10, vei observa ceva diferit aici. Nu e vorba doar despre validarea input-ului sau autentificare. Trei din primele patru riscuri (ASI02, ASI03, ASI04) gravitează în jurul identității, permisiunilor și limitelor de încredere, conform analizei Astrix Security. Problema de fond nu e că agenții au bug-uri. E că agenții primesc prea multă încredere.

Nu e teorie

Trail of Bits a auditat browser-ul Comet de la Perplexity înainte de lansare. Folosind patru tehnici de prompt injection, au demonstrat cum un atacator putea exfiltra date private Gmail prin asistentul AI. Agentul a urmat instrucțiunile injectate pentru că conținutul extern nu era tratat ca input neîncrezător. Perplexity i-a angajat proactiv, ceea ce e rar. Majoritatea companiilor livrează întâi, auditează niciodată.

Între ianuarie și februarie 2026, cercetătorii de securitate au raportat peste 30 de CVE-uri care vizau servere și clienți MCP. Gama: de la path traversal-uri triviale la o vulnerabilitate de remote code execution cu CVSS 9.6 într-un pachet descărcat de aproape jumătate de milion de ori. Într-un caz documentat, un issue malițios pe GitHub a injectat instrucțiuni ascunse care au deturnat un agent conectat la MCP și au exfiltrat date din repository-uri private.

Raportul IBM 2026 X-Force Threat Intelligence Index a constatat că exploatarea vulnerabilităților e acum cauza principală a atacurilor (40% din incidente) și a raportat peste 300.000 de credențiale ChatGPT compromise doar în 2025. Platformele AI au acum același risc de credențiale ca orice alt SaaS enterprise. Și asta e înainte ca agenții să primească acces autonom la baze de date.

Conform unui sondaj Dark Reading citat de Palo Alto Networks, 48% dintre profesioniștii de securitate cibernetică identifică AI agentic ca vectorul de atac numărul unu pentru 2026.

Cinci lucruri pe care trebuie să le faci în acest trimestru

Cunoașterea riscurilor e pasul unu. Iată ce trebuie să faci concret. Acestea se mapează direct pe recomandările OWASP și pe ce am văzut noi că funcționează în practică.

1. Aplică least privilege pe fiecare tool

Agentul tău nu are nevoie de acces write la întreaga bază de date. Nu are nevoie de admin pe clusterul Kubernetes. Nu are nevoie de acces la tot Slack-ul.

# Greșit: agentul primește tot
agent:
  tools: ["*"]
  permissions: admin
 
# Corect: scope per task
agent:
  tools:
    - name: database_query
      scope: read_only
      tables: [analytics, products]
    - name: slack_notify
      scope: post_message
      channels: [alerts]

Acordă minimul de tool-uri necesar pentru task-ul specific. Definirea permisiunilor per tool (read-only vs. write, resurse specifice) nu mai e opțională. Asta adresează direct ASI02 și ASI03.

2. Sandbox-uiește execuția agentului

Nu lăsa niciodată codul generat de agent să ruleze în mediul tău host. Folosește execuție containerizată cu restricții de rețea, filtrare syscall și fără volume persistente montate.

# Sandbox de execuție agent
FROM python:3.12-slim
RUN useradd --no-create-home agent
USER agent
# Fără acces la rețea către servicii interne
# Fără acces la metadata endpoints
# Fără storage persistent montat

Blochează accesul la servicii interne (metadata endpoints, adrese private). Restricționează rețeaua outbound doar la domeniile de care agentul chiar are nevoie. Asta mitigă ASI05 și limitează blast radius-ul pentru ASI01.

3. Tratează tot conținutul extern ca neîncrezător

Aceasta e lecția din auditul Trail of Bits/Comet. Când agentul tău citește o pagină web, un email sau un document, nu trebuie să urmeze instrucțiuni încorporate în acel conținut. Implementează granițe de conținut, sanitizează input-urile înainte să ajungă la contextul agentului și testează cu prompt-uri adversariale.

Dacă agentul tău procesează conținut trimis de utilizatori, rulează detecție de prompt injection înainte să ajungă la LLM. Aceasta e singura apărare cu cel mai mare impact împotriva ASI01 (goal hijack) și ASI06 (memory poisoning).

4. Validează comunicarea inter-agent

Dacă rulezi sisteme multi-agent, fiecare mesaj între agenți are nevoie de autentificare. Mesajele inter-agent falsificate (ASI07) pot redirecționa pipeline-uri întregi. Semnează mesajele, verifică identitatea expeditorului și implementează circuit breakers pentru cascading failures (ASI08).

# Validarea mesajelor inter-agent
def validate_agent_message(msg):
    if not verify_signature(msg.payload, msg.sender_id):
        raise SecurityError(f"Spoofed message from {msg.sender_id}")
    if msg.sender_id not in AUTHORIZED_AGENTS:
        raise SecurityError(f"Unknown agent {msg.sender_id}")
    return msg.payload

5. Monitorizează comportamentul agentului, nu doar output-urile

Observabilitatea tradițională urmărește apeluri API și latență. Observabilitatea agenților trebuie să urmărească lanțuri de raționament, pattern-uri de utilizare tool-uri și tentative de escaladare a permisiunilor. Loghează ce a decis agentul să facă, ce tool-uri a apelat și la ce date a accesat.

Când un agent care în mod normal interoghează două tabele solicită brusc acces la tabelul de credențiale utilizatori, acela e semnalul tău. Detecția anomaliilor comportamentale pentru agenți nu e un nice-to-have. E singurul mod de a prinde ASI09 (exploatarea încrederii) și ASI10 (agenți rebeli) înainte să provoace daune.

Cum abordează DeviDevs securitatea agentică

Rulăm un sistem multi-agent în producție. Opt agenți autonomi, fiecare cu permisiuni delimitate, execuție sandbox-uită și monitorizare comportamentală. Am învățat aceste lecții pe pielea noastră: agenții cu prea mult acces fac exact ce te-ai aștepta când primesc input-uri neașteptate. Le urmează.

Abordarea noastră de securitate AI pornește de la OWASP Agentic Top 10 ca baseline și construiește de acolo cu red teaming, audituri de permisiuni și monitorizare continuă. Dacă operezi agenți și încă nu ai mapat sistemul tău pe această listă, aceasta e prima conversație pe care trebuie s-o ai.

Fereastra se închide

OWASP ne-a dat vocabularul. Trail of Bits, IBM și valul de CVE-uri MCP ne-au dat dovezile. Întrebarea nu e dacă agenții tăi au aceste vulnerabilități. Întrebarea e dacă le găsești tu înainte să le găsească altcineva.

Începe cu least privilege. Sandbox-uiește tot. Tratează conținutul extern ca ostil. Agenții sunt deja în producție. Securitatea trebuie să-i ajungă din urmă.

Despre DeviDevs: Construim platforme ML, securizăm sisteme AI și ajutăm companiile să se conformeze cu EU AI Act. devidevs.com

Ai nevoie de ajutor cu conformitatea EU AI Act sau securitatea AI?

Programeaza o consultatie gratuita de 30 de minute. Fara obligatii.

Programeaza un Apel

Weekly AI Security & Automation Digest

Get the latest on AI Security, workflow automation, secure integrations, and custom platform development delivered weekly.

No spam. Unsubscribe anytime.

Related Articles

ai-security

Fiecare startup de AI Security a fost achizitionat. Si acum ce facem?

Cisco, Palo Alto si Check Point au achizitionat fiecare startup independent de AI security pentru peste 1,2 miliarde de dolari. Specialistii au disparut. Iata ce inseamna asta pentru tine.

7 min read
ai-security

Framework-ul tau de agenti AI este probabil compromis chiar acum

42.665 de instante OpenClaw expuse si 20% din plugin-uri erau malware. Peste 30 de CVE-uri MCP in 8 saptamani. Securitatea agentilor tai AI este deja compromisa. Actioneaza acum.

7 min read
eu-ai-act

UE a actionat impotriva X si Meta pentru conformitatea GPAI. Integrarea ta este urmatoarea.

UE aplica acum regulile de conformitate GPAI impotriva X si Meta. Daca integrezi GPT, Claude sau Llama in productie, ai obligatii de deployer.

6 min read
← Inapoi la Blog