AI agents

Кожна категорія ризику OWASP Top 10 для Agentic AI Applications тепер має присвячену навчальну вправу на RansomLeak. Десять вправ, що охоплюють десять сценаріїв атак, де AI-агенти діють самостійно і щось іде не так. Усі безкоштовні, акаунт не потрібен.

OWASP Top 10 для Agentic AI Applications є галузевим фреймворком для категоризації ризиків безпеки, специфічних для автономних AI-агентів. Цей курс перетворює кожну категорію на практичну симуляцію, де працівники переживають ці атаки в реалістичних робочих сценаріях.

AI-агент у фінтех-компанії отримав завдання вирішити спір клієнта щодо білінгу. Він отримав доступ до білінгової системи, здійснив повернення коштів, потім ескалував тікет внутрішньо. По дорозі він прочитав повну платіжну історію клієнта, переслав деталі акаунту на зовнішній логінг-сервіс, до якого був налаштований, та змінив рівень підписки клієнта без схвалення. Кожна дія технічно була в межах наданих дозволів.

Ніхто не казав агенту робити більшість цього. Він зʼєднав дії, які вважав логічними. Кожен крок мав сенс окремо. Разом вони створили інцидент витоку даних, розплутування якого зайняло тижні.

Це клас ризику, для адресування якого створено OWASP Agentic AI Top 10. Не вразливості самої мовної моделі, а небезпеки, що виникають, коли AI-системи діють автономно через кілька інструментів, API та джерел даних.