OWASP Agentic Top 10: How 71 ATR Rules Cover All 10 Categories
77 total rule mappings across all 10 OWASP Agentic Security categories. ASI01-ASI06 have STRONG coverage (8-13 rules each). ASI07-ASI10 have MODERATE coverage (4-7 rules each). Full mapping inside.
為什麼 OWASP 對 AI Agent 很重要
OWASP 過去二十年定義了網路應用程式的安全標準。他們的 Top 10 清單是每個安全團隊的基準線。2026 年初,OWASP 發布了 Agentic Security Top 10(ASI01-ASI10)——首個專針 AI Agent 系統的官方威脅分類。這是任何認真的 AI Agent 安全計畫的起點。
10 個類別白話解釋
ASI01 -- Prompt Injection:攻擊者在 Agent 處理的資料中嵌入指令。Agent 執行注入的指令而非使用者意圖。最常見且最危險的攻擊。 ASI02 -- 不安全的工具執行:Agent 用造成非預期副作用的參數呼叫工具。檔案讀取器接受 `../../etc/passwd` 作為路徑。 ASI03 -- 工具參數操控:攻擊者操控傳遞給工具的參數,讓工具在不同資料或不同權限下運作。 ASI04 -- 資訊洩露:Agent 透過回應、工具呼叫或日誌洩露敏感資訊。系統提示詞、API 金鑰、使用者資料被暴露。 ASI05 -- Agent 記憶污染:持久儲存(RAG 資料庫、對話歷史)被惡意資料污染,影響未來的 Agent 行為。
ASI06 -- 不充分的沙箱化:Agent 或其工具擁有超過必要的系統存取權。沒有程序隔離,沒有檔案系統限制,沒有網路政策。 ASI07 -- 多 Agent 信任:在多 Agent 系統中,Agent 不驗證就信任其他 Agent 的訊息。一個被入侵的 Agent 可以透過受信任的 Agent 間通訊影響整個系統。 ASI08 -- 供應鏈弱點:安裝了惡意或被入侵的工具、Skills 或依賴。包括仿冒套件名、依賴混淆和後門套件。 ASI09 -- 過度權限:Agent 或工具被授予超過功能所需的權限。天氣查詢 Skills 不應該有檔案系統寫入權限。 ASI10 -- 不充分的日誌:Agent 的操作、工具呼叫和決策沒有記錄足夠的細節,無法支援安全監控、事件回應或鑑識分析。
ATR 覆蓋地圖
ATR v0.4.0 有 71 條規則,共 77 條映射到 OWASP Agentic Top 10(部分規則映射到多個類別)。覆蓋分為兩層: STRONG 覆蓋(每類 8+ 條規則): - ASI01 Prompt Injection:13 條規則。覆蓋身份覆寫、指令劫持、越獄模式、隱形區塊注入、eval 注入和社交工程。使用上下文信號區分工具描述中的注入(高嚴重度)和文件中的注入(抑制)。 - ASI02 不安全工具執行:10 條規則。反向 shell 偵測、命令注入模式、路徑穿越、SQL 注入和不安全反序列化。 - ASI03 工具參數操控:8 條規則。參數污染、型別混淆、溢位模式和編碼繞過。 - ASI04 資訊洩露:9 條規則。秘密模式(AWS 金鑰、GitHub token、私鑰、連接字串)、系統提示詞洩露、錯誤訊息洩露和除錯輸出偵測。 - ASI05 Agent 記憶污染:8 條規則。RAG 注入模式、從不可信來源寫入記憶、對話歷史操控和偏好污染。 - ASI06 不充分沙箱化:12 條規則。檔案系統越權存取、程序產生、網路連線、能力提升和容器逃逸模式。
MODERATE 覆蓋(每類 4-7 條規則): - ASI07 多 Agent 信任:7 條規則。A2A 驗證繞過、Agent 間身份仿冒、未簽名訊息接受和委派鏈攻擊。這個類別正在增長——多 Agent 架構仍在新興階段。 - ASI08 供應鏈:6 條規則。postinstall 腳本偵測、仿冒套件名距離計算、依賴混淆模式和版本間行為變化。 - ASI09 過度權限:4 條規則。權限範圍不匹配、過度權限工具定義、萬用字元權限和不必要的能力請求。 - ASI10 不充分日誌:5 條規則。工具呼叫缺少稽核軌跡、無錯誤日誌、靜默失敗模式和日誌中上下文不足。
差距與路線圖
MODERATE 覆蓋代表規則能捕獲每個類別中最常見的攻擊模式,但可能漏掉精密變體。ATR v0.5.0 的優先目標是將 ASI07-ASI10 提升到 STRONG 覆蓋。計畫新增: - ASI07:多 Agent 協定(A2A、MCP gateway)的雙向認證模式 - ASI08:註冊層級完整性驗證、MCP 套件的 SBOM 分析 - ASI09:使用 manifest 宣告的自動化權限範圍分析 - ASI10:日誌完整性評分和最低日誌記錄要求
如何檢查你的覆蓋率
對你的 MCP 設定執行 ATR 並取得 OWASP 覆蓋報告: ```bash npm install -g [email protected] atr scan --owasp-report . ``` 這會生成每個類別的明細,顯示哪些規則觸發、哪些通過、你的特定部署在哪些類別有覆蓋差距。報告直接映射到 OWASP Agentic Top 10,可以用於合規文件。完整 OWASP 映射表維護在 ATR 倉庫的 `docs/OWASP-MAPPING.md`,每次規則發布時更新。