OWASP Top 10 Agentic 2026: 377 ATR Mappings Across 336 Rules
OWASP GenAI Project shipped the Top 10 for Agentic Applications 2026, peer-reviewed by 100+ practitioners. ATR v2.1.1 maps 377 rule-to-category links across the full 336-rule corpus. ASI01 Agent Goal Hijack dominates at 202 rules — that distribution reflects the actual threat surface, not author bias. Here is the full per-category breakdown and what the numbers mean.
框架
OWASP GenAI Project 釋出了 Top 10 for Agentic Applications 2026。由 100+ 實務工作者同儕審查。十個 ASI(Agentic Security Issue)類別,涵蓋 agent runtime 威脅面。
ATR 在 v2.1.1 出貨 336 條偵測規則。有些規則涵蓋多個 ASI 類別 — 一條針對 system-prompt-override-via-tool-result 的規則同時對應 ASI01(目標劫持)與 ASI06(記憶體/context 中毒)。對應總數:336 條規則上的 377 條對應。
各類別覆蓋
| ID | 類別 | ATR 規則數 |
|---|
|---|---|---|
| ASI01 | Agent Goal Hijack | 202 |
|---|
| ASI02 | Tool Misuse & Exploitation | 15 |
|---|
| ASI03 | Agent Identity & Privilege Abuse | 34 |
|---|
| ASI04 | Agentic Supply Chain Compromise | 39 |
|---|
| ASI05 | Unexpected Code Execution | 25 |
|---|
| ASI06 | Memory & Context Poisoning | 18 |
|---|
| ASI07 | Insecure Inter-Agent Communication | 12 |
|---|
| ASI08 | Cascading Agent Failures | 16 |
|---|
| ASI09 | Human-Agent Trust Exploitation | 9 |
|---|
| ASI10 | Rogue Agents | 7 |
|---|
| 對應總數 | 377 |
|---|
為什麼 ASI01 居冠
202 條規則 — corpus 的 61% — 對應到 ASI01 Agent Goal Hijack。這不是 corpus 失衡,是因為提示注入在 agent 系統裡是最廣的攻擊面。
提示注入包含:
- ●直接提示覆寫(使用者送出「ignore previous instructions」)
- ●透過取得的文件、工具輸出、網頁、email 進行間接注入
- ●跨對話歷史的多輪注入
- ●Jailbreak 家族(DAN、角色扮演、假設性框架、編碼技巧)
- ●工具結果注入(被呼叫工具回傳的惡意內容)
- ●劫持後續輪次的記憶體中毒
其中每一項都是目標劫持向量。單一 agent 系統可能有十幾個讓不可信文字到達模型的介面。每個介面都是 ASI01 利用的候選。202 條規則是我們已編目的相異攻擊 pattern 經驗計數 — 不是覆蓋率目標。
長尾
ASI09(Human-Agent Trust Exploitation)9 條,ASI10(Rogue Agents)7 條。這兩類是真實的,但攻擊面較窄,可偵測 pattern 也較少。
ASI09 涵蓋假冒-agent 的釣魚或 agent 假冒身分等攻擊。偵測 pattern 具體(異常輸出框架、agent 回應中的身分宣稱),但變化有限。
ASI10 涵蓋影子 IT agent、未經授權的 MCP server 部署、以不應有權限運作的 agent。偵測大部分屬組織面、非 pattern 面。
怎麼使用對應
合規工作與稽核準備:
- ●根據你的 agent 部署面選出相關 ASI 類別
- ●從 ATR corpus 拉出對應這些類別的規則子集
- ●在 runtime 偵測層部署該子集
- ●在稽核證據中引用對應
完整對應維護在 docs/OWASP-MAPPING.md,隨每個 ATR release 更新。每筆規則連到它的 YAML 來源與測試案例。
標準 + 偵測
OWASP 給你框架。ATR 給你實作框架的偵測規則。邏輯跟 OWASP Top 10 for web apps + Snyk/CodeQL 規則一樣 — 沒有可執行偵測的框架是 checklist;沒有框架的可執行偵測是雜訊。