CyberOK опубликовала Agentic SAMM для оценки безопасности систем с AI-агентами
NewsMakerНовый фреймворк ASAMM учитывает риски контекста, вызова инструментов и автономной работы агента.
Компания CyberOK опубликовала Agentic SAMM (ASAMM) — исследовательский фреймворк, расширяющий модель OWASP SAMM для оценки безопасности систем с AI-агентами. Документ размещен на GitHub и открыт для рецензирования.
По словам генерального директора CyberOK Сергея Гордейчика, «команды внедряют агентные инструменты быстрее, чем успевают выстроить адекватные практики безопасности». «Классический SAMM даёт хорошую основу, но что делать, когда агент начинает самостоятельно вызывать инструменты, читать внешний контекст и действовать автономно без человека в цикле?» — отметил Гордейчик.
Авторы ASAMM исходят из того, что агентные системы принципиально отличаются от обычного программного обеспечения с AI-компонентом. В таких системах контекст становится частью плоскости управления, вызов инструмента рассматривается как граница безопасности, а сам процесс разработки превращается в потенциальную поверхность атаки. При этом стандартные проверки безопасности — моделирование угроз, DAST-сканирование, пентест — могут показывать нормальные результаты, в то время как реальные уязвимости остаются в реестре инструментов, MCP-сервере и в промежутках между контрольными точками.
Фреймворк вводит несколько ключевых концепций. Любой контекст, который читает агент — документы, тикеты, описания инструментов, веб-страницы, CI-логи, — может стать инструкцией для выполнения. Авторизация вызова инструмента не означает его согласованность с задачей. Отдельно определяется «окно автономии» — измеримый риск, зависящий от времени работы агента без контрольной точки и масштаба доступных действий.
Компания CyberOK опубликовала Agentic SAMM (ASAMM) — исследовательский фреймворк, расширяющий модель OWASP SAMM для оценки безопасности систем с AI-агентами. Документ размещен на GitHub и открыт для рецензирования.
По словам генерального директора CyberOK Сергея Гордейчика, «команды внедряют агентные инструменты быстрее, чем успевают выстроить адекватные практики безопасности». «Классический SAMM даёт хорошую основу, но что делать, когда агент начинает самостоятельно вызывать инструменты, читать внешний контекст и действовать автономно без человека в цикле?» — отметил Гордейчик.
Авторы ASAMM исходят из того, что агентные системы принципиально отличаются от обычного программного обеспечения с AI-компонентом. В таких системах контекст становится частью плоскости управления, вызов инструмента рассматривается как граница безопасности, а сам процесс разработки превращается в потенциальную поверхность атаки. При этом стандартные проверки безопасности — моделирование угроз, DAST-сканирование, пентест — могут показывать нормальные результаты, в то время как реальные уязвимости остаются в реестре инструментов, MCP-сервере и в промежутках между контрольными точками.
Фреймворк вводит несколько ключевых концепций. Любой контекст, который читает агент — документы, тикеты, описания инструментов, веб-страницы, CI-логи, — может стать инструкцией для выполнения. Авторизация вызова инструмента не означает его согласованность с задачей. Отдельно определяется «окно автономии» — измеримый риск, зависящий от времени работы агента без контрольной точки и масштаба доступных действий.