AIVSS Scoring System For OWASP Agentic AI Core Security Risks v0.8

2026. 7. 7. 00:14·AI Agent Security

 

Source: https://aivss.owasp.org/assets/publications/AIVSS%20Scoring%20System%20For%20OWASP%20Agentic%20AI%20Core%20Security%20Risks%20v0.8.pdf

Overview

OWASP AIVSS(Agentic AI Vulnerability Scoring System), AIUC-1, OWASP AI Exchange, OWASP Citizen Development Top 10가 공동 발행한 v0.8 리포트. Agentic AI 시스템의 핵심 보안 위험 10가지를 정의하는 Part 1과, 이 위험들을 정량적으로 채점하는 AIVSS-Agentic scoring methodology를 다루는 Part 2로 구성.

Key Points

  • Agentic AI는 자율적으로 목표를 설정/추구하고, tool을 사용하며, memory와 context를 활용해 행동한다는 실용적 정의를 채택.
  • CSA MAESTRO(7-layer 아키텍처)로 위험이 시스템 내 어디서 발생하는지 구조적으로 파악하고, AIVSS는 그 위험을 채점.
  • 핵심 개념은 Agentic Risk Amplification: agent의 autonomy, tool 사용, memory 등 능력이 기존 기술적 취약점(CVSS)의 "force multiplier" 역할을 함.
  • 최종 점수(AIVSS) = 기술적 심각도(CVSS_Base) + Agentic Uplift(AARS), 여기에 Mitigation Factor 적용.
  • 10개 위험 각각에 대해 example attack scenario와 CVSS v4.0 기반 채점 예시 제공.

Details

Part 1. OWASP Agentic AI Core Security Risks (10개 카테고리, 심각도순)

  1. Agentic AI Tool Misuse: agent의 tool/API 상호작용에서 발생하는 오작동. Tool squatting(가짜 tool 등록), insecure tool interface, tool output 오해석, monitoring/kill switch 부재 등이 핵심 위험. 예: malicious code execution via tool, MCP server를 이용한 backdoor 주입.
  2. Agent Access Control Violation: agent가 인가 범위를 넘어 동작. Permission escalation, role inheritance exploitation, credential/token mismanagement, confused deputy pattern 등. 예: GitHub Copilot의 EchoLeak(zero-click 데이터 유출).
  3. Agent Cascading Failures: 한 agent의 compromise가 연결된 여러 시스템으로 확산. Cross-system exploitation, lateral movement, hallucination propagation 등. Tool Misuse/Goal Manipulation/Access Control Violation과 자주 중첩.
  4. Agent Orchestration and Multi-Agent Exploitation: 여러 agent 간 통신/조율 메커니즘을 노리는 공격. Inter-agent communication exploitation, shared knowledge(RAG/memory) poisoning, session fixation/replay, rogue autonomy.
  5. Agent Identity Impersonation: agent가 다른 agent 또는 human을 사칭(반대도 포함). Deepfake 기반 CEO fraud, agent-in-the-middle, shared identity pool 악용, DID/VC 부재로 인한 attribution gap.
  6. Agent Memory and Context Manipulation: agent의 저장된 context/memory 오염. Context amnesia, cross-session leakage, cross-user contamination, RAG data poisoning, missing TTL 등. Agent별 "cognitive resilience" 편차가 취약성에 영향.
  7. Insecure Agent Critical Systems Interaction: agent가 물리적 인프라/IoT/critical system과 상호작용할 때 발생. SSRF, CI/CD pipeline tampering, agent misconfiguration exploitation. 예: 상수도 처리 시설 sabotage, 데이터센터 물리 침입.
  8. Agent Supply Chain and Dependency Risk: agent의 pre-trained model, 라이브러리, third-party tool/MCP server 등 구성요소 오염. Package hallucination(존재하지 않는 패키지명을 공격자가 등록), capability creep(vendor의 조용한 권한 확장) 등.
  9. Agent Untraceability: agent 행동의 sequence/identity/authorization을 추적 불가능한 상태. 동적 role 상속, 분산 로그의 상관관계 부재로 "forensic black hole" 발생. Explainability artifact(SHAP/LIME 등) 조작도 포함.
  10. Agent Goal and Instruction Manipulation: prompt injection 등으로 agent의 핵심 목표/의사결정 로직 subversion. Semantic ambiguity exploitation, direct/indirect instruction injection, dynamic goal steering, resource exhaustion via goal looping.

Part 2. AIVSS-Agentic Scoring System and Application

이론적 기반: 전통적 취약점은 static impact ceiling을 갖지만, agent의 autonomy/tool 사용/memory 지속성은 기술적 결함의 영향 범위를 증폭시킴("force multiplier"). Core agency, environmental permeability, probabilistic behavior 3가지가 이 증폭을 정당화.

10개 Risk Amplification Factors (각 0.0/0.5/1.0으로 채점):

  1. Autonomy – human 승인 없이 행동 실행 능력
  2. Tools – 외부 tool/API 통제 범위와 권한
  3. Language – 자연어가 control logic을 얼마나 직접 구동하는지
  4. Context – 환경 신호/데이터 활용 폭
  5. Non-Determinism – 동일 입력에 대한 출력 변동성
  6. Opacity – 내부 논리에 대한 가시성/감사 가능성 결여
  7. Persistence – 세션 간 memory/state 유지 능력
  8. Identity – 런타임에 다른 역할/권한을 취할 수 있는 능력
  9. Multi-Agent – 다른 자율 agent와의 조율/의존
  10. Self-Modification – 자신의 code/prompt/tool 설정을 변경할 수 있는 능력

계산 절차:

  • Factor_Sum = 10개 요소 점수 합 (최대 10.0)
  • AARS(Agentic Uplift) = (10 - CVSS_Base) * (Factor_Sum / 10) * ThM
    • ThM(Threat Multiplier): Attacked=1.00, PoC=0.97(기본값), Unreported=0.50
  • AIVSS_raw = (CVSS_Base + AARS) * Mitigation_Factor
    • Mitigation_Factor: No/Weak=1.00(기본값), Partial=0.83, Strong=0.67(하한선)
  • AIVSS = RoundHalfUp(AIVSS_raw, 1)
  • CVSS 입력은 반드시 v4.0 기준(v3.1과 혼용 불가). Subsequent System Impact(SC/SI/SA) metric이 agentic 시나리오에서 특히 중요.

Severity Band: Critical(9.0-10.0), High(7.0-8.9), Medium(4.0-6.9), Low(0.1-3.9). CVSS 기준선이 낮아도 agentic 증폭으로 최종 점수가 크게 상승할 수 있음(예: Goal Manipulation CVSS 2.1 → AIVSS 7.1). 이 경우 개선 방향은 취약점 patching보다 autonomy/tool scope/memory retention 등 architectural 제약이 더 효과적.

10개 위험 채점 예시 요약 (CVSS_Base → AIVSS, Severity):

  • Tool Misuse: 9.4 → 9.9 (Critical)
  • Access Control Violation: 8.7 → 9.7 (Critical)
  • Cascading Failures: 7.1 → 9.4 (Critical)
  • Orchestration Exploitation: 9.4 → 10.0 (Critical)
  • Identity Impersonation: 7.4 → 9.3 (Critical)
  • Memory Manipulation: 5.8 → 8.9 (High)
  • Critical Systems Interaction: 6.9 → 9.2 (Critical)
  • Supply Chain Risk: 9.3 → 9.7 (Critical)
  • Untraceability: 5.3 → 8.3 (High)
  • Goal Manipulation: 2.1 → 7.1 (High)

Implementation Guide: 조직은 시스템 아키텍처 이해, agentic AI 개념 전문성, AI/ML 보안 지식을 사전 요건으로 갖추고, AI Security Lead/Assessor, Agent 개발자, SecOps/GRC, Risk Management/Compliance Officer, CISO, AI Reliability & Policy Engineer 등 역할을 배정해 평가 수행. 아키텍처 변경, threat landscape 변화, 정기 review cycle 발생 시 재평가 필요. AI Governance Board와 AI Risk Classification Committee를 통한 release gate/approval mechanism 권장. NIST AI RMF, ISO/IEC 27001/27002, ISO/IEC 23894 등 기존 risk framework와 연동 가능.

부록: JSON schema(Appendix A), OWASP GenAI/LLM Agentic AI Top 10 2026과의 매핑(Appendix B), CSA MAESTRO layer 매핑(Appendix C), 2025년 12월 contributor survey 결과(Appendix D) - survey에서는 Agent Access Control Violation이 가장 심각한 위험으로, Agent Untraceability와 Cascading Failures가 상대적으로 낮은 순위로 평가됨(다만 이는 downstream/compounding risk 특성 때문으로 해석).

Conclusion

  • Agentic AI 시스템의 보안 위험은 agent의 autonomy, tool 접근, memory persistence 등에 의해 기존 기술적 취약점보다 훨씬 크게 증폭될 수 있음.
  • AIVSS는 CVSS를 baseline으로 삼고 10개 agentic factor로 우측 보정(uplift)하는 방식으로 이를 정량화.
  • 높은 uplift가 관찰되면 patch보다 architectural constraint(autonomy 축소, tool scope 제한, memory isolation, human oversight 강화)가 우선되어야 함.
  • 본 문서는 living document로, 향후 지속적 업데이트와 커뮤니티 피드백을 통해 개정될 예정.

Reference

  • OWASP AIVSS Project
  • AIVSS-AIUC-1 Crosswalk
  • CSA MAESTRO Framework
  • CVSS v4.0 Specification, FIRST.org
  • NIST AI Risk Management Framework
  • MITRE ATLAS
  • OWASP Agentic AI Top 10 for 2026
  • OWASP MAS Threat Modeling
  • CSA and OWASP AI Exchange Agentic AI Red Teaming Guide
  • Digital Identity Rights Framework (DIRF)

'AI Agent Security' 카테고리의 다른 글

OWASP Top 10 for Agentic Applications 2026  (0) 2026.06.24
AI Agent의 OAuth Token 관리 - 2 or 3 Legged OAuth (2LO, 3LO)  (0) 2026.06.17
Security Implementation in Enterprise Agent Platform  (0) 2026.06.11
Microsoft Multi-Agent Reference Architecture  (0) 2026.06.08
Agentic Network: Gateway 디자인 패턴  (0) 2026.06.07
'AI Agent Security' 카테고리의 다른 글
  • OWASP Top 10 for Agentic Applications 2026
  • AI Agent의 OAuth Token 관리 - 2 or 3 Legged OAuth (2LO, 3LO)
  • Security Implementation in Enterprise Agent Platform
  • Microsoft Multi-Agent Reference Architecture
ybjeon.today
ybjeon.today
#Security #AI #LLM #일상 #공부 #연구, 프로필: https://ybjeon.today
  • ybjeon.today
    ybjeon's today
    ybjeon.today
  • 전체
    오늘
    어제
  • 링크

    • Github
    • Homepage
  • 블로그 메뉴

    • 전체 보기
    • Security
    • LLM AI Agent
    • AI Agent Security
    • Development
    • Tech News
    • 방명록
  • 태그

    Agent
    OWASP
    NEWS
    ai
    development
    coding
    article
    Threat
    review
    ToDo
    Development Lifecycle
    llm
    Paper
    Security
  • 인기 글

    • 분류 전체보기 (27) N
      • Dev (6)
      • Security (2)
      • AI Agent Security (8) N
      • LLM AI Agent (10)
      • Tech News (1)
  • 공지사항

  • 최근 댓글

  • 최근 글

  • hELLO· Designed By정상우.v4.10.6
ybjeon.today
AIVSS Scoring System For OWASP Agentic AI Core Security Risks v0.8
상단으로

티스토리툴바