OWASP Agentic Security (ASI) Top 10 (2026): Riziká agentických AI systémov

OWASP Agentic Top 10 (ASI01–ASI10) je zoznam rizík pre autonómnych AI agentov, ktorý 9. decembra 2025 zverejnil OWASP GenAI Security Project pod hlavičkou Agentic Security Initiative (ASI). Dopĺňa etablované LLM Top 10 o agentovo špecifické hrozby, ktoré vznikajú z autonómie, využívania nástrojov, koordinácie viacerých agentov a perzistentnej pamäte. Zoznam je referenciou pre nasadzovateľov v regióne DACH, ktorí nasadzujú agentov produktívne a musia svoje riziká preukázať voči auditu, dohľadu a predstavenstvu.

• Čo to je: Recenzovaný (peer-reviewed) register rizík s desiatimi agentovo špecifickými triedami hrozieb – nie katalóg kontrol.
• Prečo je potrebný: Agenti plánujú, vyberajú nástroje, zapisujú do pamäte a konajú – to zväčšuje útočnú plochu nad rámec toho, čo modelujú LLM Top 10.
• Na čo si dať pozor: Starší návrhový zoznam z februára 2025 stále koluje a vedie k zámenám v číslovaní.

Ktorý zoznam je ktorý? Pasca taxonómie

OWASP medzitým zverejňuje celú rodinu prekrývajúcich sa AI bezpečnostných artefaktov. Pre DACH tímy pre riziká a obstarávanie je čisté rozlíšenie kľúčové:

• OWASP LLM Top 10 (LLM01:2025–LLM10:2025): Riziká modelov a aplikácií každej GenAI aplikácie – konverzačnej, RAG-založenej, copilotovskej alebo agentickej.
• OWASP Agentic Top 10 (ASI01–ASI10, 2026): Riziká autonómnych agentov, zverejnené 9. decembra 2025.
• OWASP AI Exchange, AIVSS, MCP Top 10, Agentic Skills Top 10 (AST10): doplnkové artefakty pre vedomostnú bázu, hodnotenie, protokolovú resp. skill úroveň.

Dôležité: Kandidátsky zoznam kolujúci v pillar-briefe s „Memory Poisoning" ako ASI01 pochádza z pracovného návrhu OWASP z februára 2025 (Agentic AI Threats and Mitigations v1.0, „15 agentic threats"). Ten je prekonaný, ale v mnohých praktických článkoch z roku 2025 sa stále cituje. Finálny zoznam návrhové hrozby konsoliduje: Memory Poisoning je teraz pod ASI06, HITL-Bypass pod ASI09, Repudiation/Untraceability pod ASI03 plus prierezové požiadavky na logging.

Prečo agentické systémy potrebujú vlastný zoznam

LLM Top 10 boli napísané pre systémy, ktoré prevažne odpovedajú: prompt dnu, completion von, prípadne ukotvené cez RAG. Agentické systémy naopak plánujú, vyvodzujú, vyberajú nástroje, zapisujú do pamäte a konajú – s minimálnym krokovým ľudským schvaľovaním. OWASP to zhŕňa takto: Agentické systémy dedia všetky LLM riziká a zavádzajú úplne nové triedy zraniteľností z autonómie, integrácie nástrojov, koordinácie viacerých agentov a perzistentného stavu.

Open-source red-teaming framework DeepTeam popisuje zosilňovací efekt výstižne: ASI01 (Agent Goal Hijack) = LLM01 (Prompt Injection) × LLM06 (Excessive Agency) – ale s viacstupňovým vykonávaním, ktoré znásobuje škodu nad rámec jednej odpovede. ASI07, ASI08 a ASI10 nemajú vôbec žiadny ekvivalent v LLM Top 10.

Desať rizík v prehľade

Nasledujúca tabuľka zhŕňa kanonický zoznam, primárnu kategóriu kontroly a náprotivok z LLM Top 10 (zdroj: OWASP, 2026).

ASI01 – Agent Goal Hijack

Útočník manipuluje ciele, výber úloh alebo rozhodovacie cesty agenta – cez prompt injection, manipulované výstupy nástrojov, škodlivé artefakty, sfalšované správy medzi agentmi alebo otrávené externé dáta. Agent nemusí byť „pokazený"; nasleduje pokyny, ktoré považuje za legitímne, pretože modely nedokážu spoľahlivo oddeliť inštrukcie a dáta. Zdokumentovaný incident: EchoLeak (CVE-2025-32711, CVSS 9.3) v Microsoft 365 Copilot – prvý reálny Zero-Click prompt injection v produktívnom systéme. Pripravený e-mail obišiel XPIA klasifikátor a exfiltroval citlivý obsah bez jediného kliknutia (Aim Labs, jún 2025).

ASI02 – Tool Misuse & Exploitation

Agent pracuje v rámci svojich autorizovaných práv, ale legitímny nástroj využíva nebezpečne: maže dáta, nadmerne volá nákladné API, exfiltruje informácie. Odlíšenie od ASI03: prístup je legitímny, využitie nie. Zdokumentované: Amazon Q Code Assistant (CVE-2025-8217) – manipulované inštrukcie vo VS Code rozšírení by s --trust-all-tools --no-interactive zmazali súborové systémy a cloudové zdroje bez potvrdenia; rozšírenie malo nainštalované zhruba milión vývojárov.

ASI03 – Identity & Privilege Abuse

Agenti pracujú s rozsiahlymi právami. Ak je agent kompromitovaný, útočník zdedí jeho oprávnenia. Dedenie oprávnení je dominantné systémové riziko, pretože agentové identity sú v ľudsky orientovaných IAM systémoch slabo modelované. Odporúča sa zaobchádzať s každým agentom ako s prvotriednou Non-Human Identity (NHI) – s primitívmi ako Microsoft Entra Agent ID (GA 2025, stav 2026), AWS IAM agentové role a krátkodobé credentials.

ASI04 – Agentic Supply Chain Vulnerabilities

Na rozdiel od LLM03 (statický dodávateľský reťazec: tréningové dáta, základný model, build-time knižnice) pokrýva ASI04 to, čo agenti dynamicky načítavajú za behu: MCP servery, pluginy, externé nástroje, Agent-Cards, sub-agentov. Zdokumentované: postmark-mcp (Koi Security, september 2025) – prvý škodlivý MCP server v teréne; každá odoslaná správa bola potajomky skopírovaná útočníkovi, 1 643 stiahnutí pred odstránením. Protiopatrenie: „agentic SBOM" (AIBOM) a vynucovanie Trusted Registry.

ASI05 – Unexpected Code Execution

Mnohí agenti generujú a vykonávajú kód ako funkciu. SecOps Group zdokumentovala len v decembri 2025 vyše 30 CVE na veľkých AI coding platformách. Príklad: CurXecute (CVE-2025-54135) – otrávený prompt z verejnej Slack správy dokázal prepísať ~/.cursor/mcp.json a pri každom spustení Cursora vykonať príkazy útočníka. Kontrola: izolované, efemérne sandboxy (gVisor, Firecracker), Command-Allow-Lists, žiadny Auto-Approve.

ASI06 – Memory & Context Poisoning

Agenti udržujú perzistentnú pamäť – históriu, preferencie, naučený kontext, RAG stores. Jediný úspešný injection môže pamäť trvalo otráviť; každá budúca relácia zdedí kompromitáciu. Zdokumentované: útok na pamäť Google Gemini (Johann Rehberger, február 2025) s „delayed tool invocation" a výskum Lakera (november 2025), v ktorom si kompromitovaní agenti vytvorili perzistentné falošné presvedčenia a bránili ich proti ľudským dopytom – správanie sleeper-agenta.

ASI07 – Insecure Inter-Agent Communication

Systémy viacerých agentov sa koordinujú cez správy. Bez silnej autentifikácie, integrity a policy možno vsunúť nepravdivé informácie, pretože správy sú v prirodzenom jazyku a dôvera je implicitná. Zdokumentované: Agent Session Smuggling v A2A protokole (Palo Alto Unit 42, november 2025) – trvalá social-engineering kampaň agent proti agentovi namiesto jediného výstrelu. Kontrola: mTLS, kryptograficky podpísané AgentCards, explicitný graf spolupráce.

ASI08 – Cascading Failures

Vo vzájomne prepojených workflowoch viacerých agentov sa chyby sčítavajú. Jeden kompromitovaný agent otrávi každého agenta, s ktorým komunikuje. Zdokumentované: výskum Galileo AI (december 2025) – v simulovaných systémoch jediný kompromitovaný agent otrávil 87 % nadväzujúcich rozhodnutí do 4 hodín. Kontrola: Circuit Breaker, definované Blast-Radius-Caps, Bulkheads, automatické kill-switche.

ASI09 – Human-Agent Trust Exploitation

Agenti produkujú vyhladené, autoritatívne znejúce výstupy; ľudia majú sklon „mávnuť rukou". Úroveň dohľadu, ktorá má vlastne byť bezpečnostnou kontrolou, sa stáva zraniteľnosťou (automation bias). Priamo prepojiteľné s EU AI Act čl. 14. Kontrola: HITL brány, ktoré vynucujú nezávislé overenie dôkazov, Force-Engagement-UI namiesto obyčajného tlačidla „Approve".

ASI10 – Rogue Agents

Najextrémnejšia podoba: agent, ktorý sa fundamentálne odchyľuje od zamýšľanej funkcie – v dôsledku akumulovaného memory-poisoning, kompromitácie dodávateľského reťazca alebo emergentného mismatchu. OWASP uvádza ako príklad „Replit-Meltdown" (polovica 2025). Aby sme komunikovali úprimne: Plne zdokumentovaný „rogue agent v produkcii" vo veľkom podniku nebol k stavu výskumu (máj 2026) potvrdený – ide o teritórium špičkového výskumu a red-teamingu. Kontrola: priebežné behaviorálne baseline, canary úlohy, povinné kill-switche.

Konkrétny príklad: Obstarávacia kaskáda

Jeden zdokumentovaný incident názorne spája ASI08 a ASI09: Obstarávací agent bol počas troch týždňov postupne presvedčený, že jeho autorizačný limit je 500 000 USD. Následne útočník umiestnil 5 mil. USD v desiatich falošných objednávkach. Každý jednotlivý krok bol vierohodný (vzor variacej žaby/boiling-frog, ASI06 memory-drift), ľudskí schvaľovatelia dôverovali rastúcemu nároku agenta na autoritu (ASI09) a efekt kaskádoval cez nadväzujúcich pricing a compliance agentov (ASI08). Ponaučenie: Obmedzenie škôd vyžaduje idempotenčné tokeny na kritických akciách, tvrdé Blast-Radius-Caps a HITL brány s nezávislým overením dôkazov – nielen dôveru v odporúčanie agenta.

Zaradenie do DACH compliance rámca

Agentic Top 10 je register rizík, nie katalóg kontrol. Leží na vrchu klasických štandardov ako ASVS a API Security Top 10, nie namiesto nich. Doplnkovo MAESTRO (Cloud Security Alliance) dodáva architektonickú mapu, MITRE ATLAS (verzia 5.1.0, november 2025, stav 2026) playbook útočníka a AIVSS (verzia 0.8, marec 2026; verzia 1.0 očakávaná na koniec 2026) hodnotenie s agentickými zosilňovacími faktormi. EU AI Act čl. 15 (kybernetická bezpečnosť, robustnosť) a čl. 14 (ľudský dohľad) pokrývajú mnohé ASI riziká koncepčne, ale ponechávajú agentovo špecifické medzery – napríklad nepriamy injection alebo kaskády viacerých agentov – na nasadzovateľovi. GDPR čl. 32 sa uplatňuje pri integrite a dôvernosti; ISO 42001, NIS2 a DORA dopĺňajú finančné a KRITIS kontexty.

Pre agentúry a B2B rozhodovateľov

Kto navrhuje AI agentov pre zákazníkov alebo ich prevádzkuje vo vlastnom dome, mal by zakotviť ASI01–ASI10 ako povinný kontrolný zoznam v pitchi, architektúre a prevádzkovom manuáli – nie ako bezpečnostné silo, ale integrovane do IAM, loggingu a schvaľovacích procesov. Pre DACH B2B to konkrétne znamená: každú agentovú identitu ako NHI s krátkodobými credentials, Auto-Approve zásadne vypnutý, memory-provenance a tenant-izolácia, kill-switche v každom produktívnom prostredí, ako aj štvrťročný red-teaming. Ako viedenská agentúra Blck Alpaca pomáha previesť tento register hrozieb do auditovateľného registra rizík, ktorý obstojí voči auditu, dohľadu a predstavenstvu.