A IA Agêntica está entrando em produção em pipelines de CI/CD, copilotos internos, fluxos de trabalho de suporte ao cliente e automação de infraestrutura. Esses sistemas não apenas chamam um modelo. Eles planejam, decidem, delegam e executam ações em nome de usuários e outros sistemas. Isso cria novas superfícies de ataque que não se alinham claramente à segurança de aplicações tradicional ou mesmo ao Top 10 OWASP 2025. Para abordar isso, a OWASP publicou o Top 10 OWASP para Aplicações Agênticas (2026), uma lista focada nos riscos de maior impacto em sistemas autônomos, que utilizam ferramentas e multiagentes.
Para equipes que já utilizam o Top 10 OWASP 2025 como guia para a segurança web e da segurança da supply chain de software, o Top 10 Agêntico estende a mesma mentalidade para agentes de IA, ferramentas, orquestração e autonomia.
Por que um Top 10 OWASP Separado para Sistemas Agênticos
O Top 10 OWASP original foca em riscos como falhas de controle de acesso, injeção e configurações incorretas. A atualização de 2025 expandiu-se para riscos modernos da supply chain, como dependências maliciosas e pipelines de build comprometidos.
Aplicações agênticas introduzem propriedades adicionais que mudam fundamentalmente a forma como o risco se propaga:
- Agentes operam com autonomia em várias etapas e sistemas
- A linguagem natural torna-se uma superfície de entrada que pode veicular instruções acionáveis
- Ferramentas, plugins e outros agentes são compostos dinamicamente em tempo de execução
- Estado e memória são reutilizados entre sessões, funções e tenants
Em resposta, a OWASP introduz o conceito de menor agência na lista de 2026. O princípio é simples. Conceda aos agentes apenas a autonomia mínima necessária para executar tarefas seguras e delimitadas.
O Top 10 OWASP para Aplicações Agênticas (2026)
Abaixo está um resumo prático de cada categoria, baseado no documento da OWASP, escrito para desenvolvedores e equipes de segurança.
ASI01 – Sequestro de Objetivo do Agente
O Sequestro de Objetivo do Agente ocorre quando um atacante altera os objetivos ou o caminho de decisão de um agente por meio de conteúdo de texto malicioso. Agentes frequentemente não conseguem separar de forma confiável instruções de dados. Eles podem executar ações não intencionais ao processar e-mails envenenados, PDFs, convites de reunião, documentos RAG ou conteúdo web.
Exemplos incluem injeção de prompt indireta que causa a exfiltração de dados internos, documentos maliciosos recuperados por um agente de planejamento, ou convites de calendário que influenciam o agendamento ou a priorização.
A mitigação foca em tratar a entrada de linguagem natural como não confiável, aplicar filtragem de injeção de prompt, limitar privilégios de ferramentas e exigir aprovação humana para mudanças de objetivo ou ações de alto impacto.
ASI02 – Uso Indevido e Exploração de Ferramentas
O Mau Uso de Ferramentas ocorre quando um agente utiliza ferramentas legítimas de maneiras inseguras. Prompts ambíguos, desalinhamento ou entrada manipulada podem fazer com que agentes chamem ferramentas com parâmetros destrutivos ou encadeiem ferramentas em sequências inesperadas que levam à perda ou exfiltração de dados.
Exemplos incluem ferramentas com privilégios excessivos que podem gravar em sistemas de produção, descritores de ferramentas envenenados em servidores MCP, ou ferramentas de shell que executam comandos não validados.
A pesquisa PromptPwnd da Aikido é um exemplo real desse padrão. Conteúdo não confiável de issues ou pull requests do GitHub foi injetado em prompts em certos GitHub Actions e fluxos de trabalho do GitLab. Quando combinado com ferramentas e tokens poderosos, isso resultou em exposição de segredos ou modificações de repositórios.
A mitigação inclui escopo rigoroso de permissões de ferramentas, execução em sandbox, validação de argumentos e adição de controles de política a cada invocação de ferramenta.
ASI03 – Abuso de Identidade e Privilégios
Agentes frequentemente herdam identidades de usuário ou de sistema, que podem incluir credenciais de alto privilégio, tokens de sessão e acesso delegado. O Abuso de Identidade e Privilégio ocorre quando esses privilégios são reutilizados, escalados ou passados entre agentes de forma não intencional.
Exemplos incluem o cache de chaves SSH na memória do agente, delegação entre agentes sem escopo, ou cenários de 'confused deputy'.
A mitigação inclui credenciais de curta duração, permissões com escopo de tarefa, autorização imposta por política em cada ação e identidades isoladas para agentes.
ASI04 – Vulnerabilidades da Supply Chain Agêntica
As supply chains agênticas incluem ferramentas, plugins, templates de prompt, arquivos de modelo, servidores MCP externos e até mesmo outros agentes. Muitos desses componentes são buscados dinamicamente em tempo de execução. Qualquer componente comprometido pode alterar o comportamento do agente ou expor dados.
Exemplos incluem servidores MCP maliciosos que se passam por ferramentas confiáveis, templates de prompt envenenados, ou agentes de terceiros vulneráveis usados em fluxos de trabalho orquestrados.
A mitigação inclui manifestos assinados, registros curados, fixação de dependências (dependency pinning), sandboxing e kill switches para componentes comprometidos.
ASI05 – Execução de Código Inesperada
A Execução Inesperada de Código ocorre quando agentes geram ou executam código ou comandos de forma insegura. Isso inclui comandos de shell, scripts, migrações, avaliação de templates ou desserialização acionada por meio de saída gerada.
Exemplos incluem assistentes de código executando patches gerados diretamente, injeção de prompt que aciona comandos de shell, ou desserialização insegura em sistemas de memória de agentes.
A mitigação envolve tratar o código gerado como não confiável, remover a avaliação direta, usar sandboxes reforçados e exigir pré-visualizações ou etapas de revisão antes da execução.
ASI06 – Envenenamento de Memória e Contexto
Agentes dependem de sistemas de memória, embeddings, bancos de dados RAG e resumos. Atacantes podem envenenar essa memória para influenciar decisões ou comportamentos futuros.
Exemplos incluem envenenamento de RAG, vazamento de contexto entre tenants e 'drift' de longo prazo causado pela exposição repetida a conteúdo adversarial.
A mitigação inclui segmentação de memória, filtragem antes da ingestão, rastreamento de proveniência e expiração de entradas suspeitas.
ASI07 – Comunicação Insegura Entre Agentes
Sistemas multiagentes frequentemente trocam mensagens através de MCP, canais A2A, endpoints RPC ou memória compartilhada. Se a comunicação não for autenticada, criptografada ou semanticamente validada, atacantes podem interceptar ou injetar instruções.
Exemplos incluem identidades de agente falsificadas (spoofed), mensagens de delegação replicadas ou adulteração de mensagens em canais desprotegidos.
A mitigação inclui TLS mútuo, payloads assinados, proteções anti-replay e mecanismos de descoberta autenticados.
ASI08 – Falhas em Cascata
Um pequeno erro em um agente pode se propagar por planejamento, execução, memória e sistemas downstream. A natureza interconectada dos agentes significa que as falhas podem se agravar rapidamente.
Exemplos incluem um planejador alucinando e emitindo tarefas destrutivas para múltiplos agentes ou um estado corrompido sendo propagado através de agentes de implantação e política.
A mitigação inclui limites de isolamento, limites de taxa (rate limits), disjuntores (circuit breakers) e testes de pré-implantação de planos com múltiplos passos.
ASI09 – Exploração da Confiança Humana em Agentes
Usuários frequentemente confiam excessivamente nas recomendações ou explicações de agentes. Atacantes ou agentes desalinhados podem usar essa confiança para influenciar decisões ou extrair informações sensíveis.
Exemplos incluem assistentes de codificação introduzindo backdoors sutis, copilotos financeiros aprovando transferências fraudulentas ou agentes de suporte persuadindo usuários a revelar credenciais.
A mitigação envolve confirmações forçadas para ações sensíveis, logs imutáveis, indicadores de risco claros e evitar linguagem persuasiva em fluxos de trabalho críticos.
ASI10 – Agentes Maliciosos
Agentes Maliciosos são agentes comprometidos ou desalinhados que agem de forma prejudicial enquanto parecem legítimos. Eles podem repetir ações, persistir entre sessões ou se passar por outros agentes.
Exemplos incluem agentes que continuam exfiltrando dados após uma única injeção de prompt, agentes de aprovação que aprovam silenciosamente ações inseguras ou otimizadores de custo que deletam backups.
A mitigação inclui governança rigorosa, sandboxing, monitoramento comportamental e kill switches.
A Perspectiva da Aikido sobre o Risco Agêntico
O OWASP Agentic Top 10 é baseado em incidentes observados em sistemas reais. O rastreador OWASP inclui casos confirmados de exfiltração de dados mediada por agentes, RCE, envenenamento de memória e comprometimento da cadeia de suprimentos.
A equipe de pesquisa da Aikido tem observado padrões semelhantes emergindo em investigações de CI/CD e cadeia de suprimentos. Notavelmente:
- A classe de vulnerabilidade PromptPwnd , descoberta pela Aikido Security, demonstrou como conteúdo não confiável de issues, pull requests e commits do GitHub pode ser injetado em prompts dentro de GitHub Actions e fluxos de trabalho do GitLab. Quando combinado com ferramentas com privilégios excessivos, isso criou caminhos de exploração práticos.
- Ferramentas e ações CLI aprimoradas por IA mostraram como entradas de prompt não confiáveis poderiam influenciar comandos executados com tokens sensíveis.
- Configurações incorretas em fluxos de trabalho de código aberto revelaram que os desenvolvedores frequentemente concedem à automação impulsionada por IA mais acesso do que o pretendido, às vezes incluindo tokens de repositório com capacidade de escrita.
Essas descobertas se sobrepõem a ASI01, ASI02, ASI03, ASI04 e ASI05. Elas destacam que os riscos agênticos em CI/CD e automação já são práticos. A Aikido continua a publicar pesquisas à medida que esses padrões evoluem.
Como a Aikido Ajuda a Proteger o Ambiente Circundante
A plataforma da Aikido foca em fortalecer o ambiente circundante para que qualquer adoção de ferramentas agênticas ocorra sobre uma base mais segura.
O que a Aikido faz hoje
- Identifica configurações de fluxo de trabalho do GitHub e GitLab inseguras ou excessivamente permissivas, como gatilhos inseguros ou tokens com capacidade de escrita. Esses problemas aumentam o raio de impacto de ataques no estilo PromptPwnd.
- Detecta tokens vazados, Secrets expostos e privilégios excessivos em repositórios.
- Sinaliza riscos na cadeia de suprimentos em dependências, incluindo pacotes vulneráveis ou comprometidos usados por ferramentas ou código de suporte.
- Revela configurações incorretas em infraestrutura como código que poderiam amplificar o impacto de um comprometimento de agente.
- Fornece feedback em tempo real na IDE para ajudar a prevenir configurações incorretas comuns durante o desenvolvimento.
O objetivo da Aikido é melhorar a postura de segurança dos sistemas nos quais os agentes operam, não reivindicar cobertura total de vulnerabilidades agênticas.
Analise Seu Ambiente com a Aikido
Se sua equipe de engenharia está explorando fluxos de trabalho agênticos ou já utilizando IA para triagem, automação ou sugestões de código, fortalecer o ambiente circundante é um primeiro passo importante.
A Aikido pode ajudar a identificar configurações incorretas, permissões excessivas e fraquezas na cadeia de suprimentos que afetam diretamente a segurança desses fluxos de trabalho.
Comece gratuitamente com a varredura somente leitura, ou agende uma demonstração para ver como a Aikido pode ajudar a reduzir os riscos subjacentes que moldam seu ambiente agêntico.
