OWASP AI 代理 Top 10:2026 年安全检查清单(ASI Top 10)
发布: (2025年12月31日 GMT+8 05:59)
7 min read
原文: Dev.to
Source: Dev.to
OWASP ASI Top 10 是面向构建或部署自主 AI 代理的人员的新安全蓝图。
它在经典的 OWASP LLM 应用 Top 10 基础上进行扩展,涵盖了能够规划、执行代码以及与工具和数据库交互的代理所带来的独特风险。
为什么旧的 OWASP Top 10 不足够
- Agents are autonomous – they dynamically select, plan, and execute a sequence of actions using an LLM “brain” and a set of tools (APIs, interpreters, etc.).
- Excessive agency – an agent that has more power than it needs can amplify even tiny vulnerabilities into system‑wide compromises.
To mitigate this, the ASI Top 10 introduces two core principles:
| Principle | Description |
|---|---|
| Least‑Agency | 对最小特权原则(PoLP)的扩展。代理应仅获得完成其定义任务所需的最小自主权。自主权是一种需要获得的特性,而非默认设置。 |
| Strong Observability | 提供对代理在做什么、为何以及调用了哪些工具的清晰、全面的可见性。必须对目标状态、工具使用模式和决策路径进行详细记录。 |
ASI 前十大漏洞
| ASI ID | 漏洞 | 威胁 | 缓解重点 |
|---|---|---|---|
| ASI01 | 代理目标劫持 | 攻击者操纵代理的核心目标或决策路径(即新的 间接提示注入)。 | 将所有自然语言输入视为不可信;使用 意图胶囊 模式。 |
| ASI02 | 工具滥用与利用 | 代理以不安全或非预期的方式使用合法、授权的工具(例如,用读取工具泄露机密)。 | 零信任工具化;定义严格、粒度化、即时的权限。 |
| ASI03 | 身份与特权滥用 | 代理通过滥用自身身份或继承凭证来提升特权。 | 零信任身份管理;使用唯一、短期、基于会话的凭证。 |
| ASI04 | 代理供应链漏洞 | 来自外部组件的漏洞(被污染的 RAG 数据、易受攻击的工具定义、预训练模型)。 | 持续验证外部数据源;维护 AI 专用的软件材料清单(SBOM)。 |
| ASI05 | 意外代码执行(RCE) | 代理被诱导生成并执行恶意代码(例如,反向 shell)。 | 对所有代码解释器强制硬件强制、零访问沙箱。 |
| ASI06 | 记忆与上下文投毒 | 对代理长期记忆(向量存储、知识图谱)的持久性破坏。 | 加密完整性检查并严格清理所有摄入数据。 |
| ASI07 | 不安全的代理间通信 | 多代理系统中的漏洞导致消息伪造或冒充。 | 对所有代理间通信使用 mTLS 与数字签名。 |
| ASI08 | 级联故障 | 小错误触发代理工作流中失控的破坏性连锁反应。 | 实施断路器和事务回滚能力;定义安全的失败模式。 |
| ASI09 | 人‑代理信任利用 | 攻击者操纵代理输出,欺骗人类环节批准恶意操作。 | 确保代理的推理在人工批准前完全透明且可审计。 |
| ASI10 | 流氓代理 | 代理在治理失效或恶意更新后超出预定任务或控制范围运行。 | 实施强大且可审计的紧急停止机制,并持续进行行为监控。 |
注意: 虽然这十项都很重要,但其中几项需要开发者立即在架构层面予以关注。
立即开发者行动
1. 保护代理的目标 – Intent Capsule
- 架构模式: 将代理最初的、已签署的任务(Intent Capsule)绑定到每一次执行周期。
- 运行时检查: 如果新的输入尝试更改目标,立即标记并中止,或要求人工审查。
验证 – 将所有自然语言输入——无论来自用户、RAG 文档还是任何外部来源——都视为 不可信。在进入规划器之前,必须通过严格的验证流程。
2. 保护生成的代码 – Sandbox, Sandbox, Sandbox
- 隔离: 任何由 LLM 生成的代码必须在安全、隔离的沙箱中运行。
- 限制: 沙箱必须 零网络访问 且 文件系统访问受限。
- 实现提示: 优先使用硬件强制的沙箱(例如 Intel SGX、AMD SEV、ARM TrustZone),而非纯软件方案。
3. 保护长期记忆 – Data Integrity
- 将记忆存储(向量数据库、知识图谱等)视为高度敏感的数据库。
- 加密完整性: 对每个存储的数据块应用基于哈希或 Merkle‑tree 的签名。
- 版本控制与回滚: 保持不可变的版本,并在检测到篡改时能够快速回滚。
结束思考
OWASP Top 10 for Agentic Applications 是一个明确的号召,要求超越传统的提示注入防御。自主代理放大了风险,但通过 Least‑Agency、Strong Observability 以及上述具体的缓解措施,开发者可以构建更安全、更可信的 AI 系统。
保持警惕,确保你的代理负责任,并保障自主 AI 的未来安全。
保障自主 AI 的未来
AI 的未来是自主的,但其成功完全取决于我们保障其安全的能力。
对开发者而言,这意味着要将思维方式 从保护静态应用程序转变为保护动态、特权和自主的实体。将 最小代理 和 强可观察性 作为指导原则。
- 今天就开始根据 ASI Top 10 对你的代理进行审计。
- 威胁是真实存在的,构建防御的时机就是现在。
问题: 在现实的多代理系统中,你认为 ASI Top 10 威胁中哪一项最难以缓解?
让我们在评论中讨论吧!