larrypeseckis/agent-security-threat-model

GitHub: larrypeseckis/agent-security-threat-model

一份围绕信任边界组织的 AI Agent 安全威胁模型,将真实安全事件提炼的威胁映射到 OWASP ASI 与 LLM Top 10,帮助团队在 Agent 上线前完成系统性安全评审。

Stars: 0 | Forks: 0

# Agent 安全威胁模型 [![License: CC BY 4.0](https://img.shields.io/badge/License-CC%20BY%204.0-lightgrey.svg)](https://creativecommons.org/licenses/by/4.0/) ![Status](https://img.shields.io/badge/status-public%20draft-blue) ![Version](https://img.shields.io/badge/version-v0.3-informational) 一个针对使用工具、浏览器、文件、终端、API 和云资源的 AI Agent 的实用威胁模型。 **针对 Agent 的威胁模型是一个关于接缝的模型,而不是关于盒子的。** 模型本身是良性的。浏览器是良性的。云 token 也是良性的。安全妥协发生在它们交汇的接缝处。正是出于这个原因,本文档围绕信任边界进行组织,并将每种威胁映射到 OWASP Agentic 应用程序 Top 10(ASI 列表)和 OWASP LLM 应用程序 Top 10。 ## 这是什么 一个实用的威胁模型,而非立场文件。它贯穿了一条从资产到控制的单一主线:攻击者想要的资产、这些资产背后的信任边界、十一个具体威胁、一个从威胁到边界再到控制的矩阵、九个按其能阻止什么和不能阻止什么进行评级的控制措施,以及一份你可以在 Agent 进入生产环境前运行的部署前检查清单。 每种威胁都基于真实的 2025 或 2026 年安全事件(EchoLeak / CVE-2025-32711、GitHub MCP 混淆代理漏洞、Replit 生产数据库删除事件、GitLab Duo、Unit 42 的 Agent 会话走私、CyberArk 的全 schema 投毒)。其目的是让该模型在评审中具有实用性,而不仅仅是可读性。 ## 目标读者 决定允许 Agent 触碰什么、在何处引入人类参与以及记录什么内容的工程师。正在进行设计评审或部署前评审的安全审查人员。正在策划 Agent 攻防演练的红队成员。 ## 文档说明 完整的威胁模型位于 [`agent-security-threat-model.md`](./agent-security-threat-model.md)。 结构: 1. 范围和方法 2. 参考架构(威胁所依附的画布) 3. 资产 4. 信任边界,包括致命三要素框架 5. 威胁(4.1 至 4.11) 6. 从威胁到边界到控制的矩阵 7. 控制措施(各自能阻止什么,不能阻止什么) 8. 未解决的核心(为什么 prompt injection 是架构性问题,无法通过补丁修复) 9. 部署前评审检查清单 10. 参考资料 ## 如何使用 从检查清单中的三个致命三要素问题开始,以评估影响范围:Agent 能摄取哪些不受信任的内容,它能访问哪些私密数据,以及它能执行哪些外部操作。识别 Agent 实际跨越的信任边界。然后遍历控制矩阵,以决定确定性调解、权限范围界定、日志记录和人工审批应部署在何处。 该矩阵旨在被复刻并针对你自己的系统进行编辑。其中没有任何一列完全是主控制,这是符合现实的立场:此处的防御是分层遏制,而非单一的修复方案。 ## 涉及的框架 - OWASP Agentic 安全倡议:Agentic 应用程序 Top 10 2026(ASI01 至 ASI10) - OWASP LLM 应用程序 Top 10 2025(LLM01、LLM02、LLM06) - 致命三要素(Simon Willison,2025 年 6 月)与 Meta 的 Agent 二人法则(2025 年 10 月 31 日) - Dual-LLM / CaMeL 设计模式研究(Google DeepMind,2025) ## 修订历史 这最初是 v0.1 草稿,经过外部审查后升级到 v0.3。版本历史是工件本身的一部分,而非累赘:它展示了哪些来源在受到挑战时站得住脚,哪些则没有。 - **v0.1** 初始草案:参考架构、资产、边界、十个威胁、矩阵、控制措施、检查清单。 - **v0.2** 将 Meta 的 Agent 二人法则日期更正为 2025 年 10 月 31 日。将 EchoLeak 的首创性主张缓和为有来源支持的“被广泛描述为同类首创”。删除了未解决的 CaMeL 不确定性说明。添加了 NVD 和 Fortune 的引文,并直接点名了 Replit 事件。将 OWASP 2025 年 12 月的发布日期作为三重来源予以保留。 - **v0.3** 将 MCP / 供应链投毒提升为一级威胁(4.11)和矩阵行。将工具/连接器 schema 添加为资产,并将连接器注册项添加到检查清单中,从而使 ASI04 线索得以端到端贯通。 ## 如何引用 如果你使用或改编这项工作,则根据 CC BY 4.0 的要求需要进行署名。可直接粘贴的署名行: 包含一个机器可读的 [`CITATION.cff`](./CITATION.cff) 文件,以便 GitHub 渲染出“引用此仓库”按钮。 ## 许可证 文档内容根据 [知识共享署名 4.0 国际许可协议](https://creativecommons.org/licenses/by/4.0/) (CC BY 4.0) 获得许可。你可以分享和改编它,包括用于商业用途,但需注明出处。 请通过 GitHub 的许可证选择器添加 `LICENSE` 文件(新建文件,命名为 `LICENSE`,选择知识共享署名 4.0 模板),而不是手动粘贴。 ## 作者 Larry Peseckis。更多安全研究请访问 [larrypeseckis.ai](https://larrypeseckis.ai)。 *Agent 安全威胁模型 v0.3 | 公开草案 | CC BY 4.0*
标签:AI智能体, DLL 劫持, 大语言模型, 威胁建模, 安全规范, 防御加固