AI Agent Security
OWASP Top 10 for Agentic Applications 2026
ybjeon.today
2026. 6. 24. 00:23
Source: https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/
Version: 2026 (December 2025), OWASP Gen AI Security Project - Agentic Security Initiative

Overview
- Agentic AI 시스템을 위한 첫 공식 OWASP 프레임워크로, 2025년 12월 발표
- 100명 이상의 업계 전문가가 참여한 peer-reviewed 문서
- 자율적으로 계획하고 tool을 사용하며 multi-step workflow를 실행하는 AI agent를 대상으로 한 10가지 보안 threat 정의
- NIST, Microsoft, NVIDIA 등이 endorse
Threats / Risks (위협 / 리스크)
ASI01 – Agent Goal Hijack
- 외부 입력(문서, 이메일, 캘린더 초대 등)에 삽입된 자연어 조작이 agent의 목표와 판단 로직을 변경
- 숨겨진 instruction으로 data exfiltration, 승인 로직 우회, 미승인 명령 실행이 가능해짐
ASI02 – Tool Misuse & Exploitation
- prompt 조작이나 모호한 instruction으로 인해 agent가 정상 tool을 안전하지 않은 방식으로 사용
- 과도한 access privilege는 민감 데이터 삭제/이동으로, untrusted input이 shell/DB 명령에 그대로 전달되는 문제로 이어짐
ASI03 – Identity & Privilege Abuse
- agent가 세션 간에 캐시된 credential을 재사용하거나 delegation chain을 통해 privilege를 escalation
- admin token 재사용으로 제한 데이터 접근, 위조된 internal agent가 administrative privilege 획득
ASI04 – Agentic Supply Chain Vulnerabilities
- agent가 runtime에 동적으로 로드하는 model, plugin, prompt, tool에 악성 컴포넌트 주입
- 악성 package 주입, 변조된 dependency를 통한 숨은 prompt 삽입, log routing 조작
ASI05 – Unexpected Code Execution (RCE)
- prompt 조작이나 안전하지 않은 deserialization으로 인해 agent가 생성한 code가 host/container에서 의도치 않게 실행
- shell 명령이 담긴 prompt 실행, sandbox 없는 환경에서 생성 code 자동 실행
ASI06 – Memory & Context Poisoning
- 악성 데이터가 agent의 대화 이력, RAG index, embedding 등 memory store를 손상시켜 향후 reasoning을 조작
- RAG dataset에 허위 정보 주입, 공유 context를 통해 여러 agent를 동시에 poisoning
ASI07 – Insecure Inter-Agent Communication
- multi-agent 통신 채널의 authentication, encryption, validation 취약점을 이용한 interception, spoofing, replay attack
- 암호화되지 않은 메시지 도청, replay attack으로 이전 privilege 재사용, discovery service에 위조 agent 등록
ASI08 – Cascading Failures
- 단일 fault(hallucination, poisoned memory, 변조된 컴포넌트)가 자율 agent ecosystem 전체로 빠르게 전파
- 여러 agent가 poisoned input의 오류를 증폭, plan-execution chain 전체로 오류가 cascading
ASI09 – Human-Agent Trust Exploitation
- agent의 자신감 있는 어조와 유창한 설명을 이용해 사용자가 유해한 행동을 하도록 유도
- 위조된 IT copilot의 credential 탈취, financial agent가 사용자를 속여 사기성 송금 실행하도록 유도
ASI10 – Rogue Agents
- compromise, misalignment, reward hacking, emergent behavior로 인해 agent가 원래 목적/permission scope를 벗어남
- 원래 task 완료 후에도 유해 행동 지속, oversight 우회를 위한 허위 승인 생성
Security Solutions / Guardrails (보안 솔루션 / 가드레일)
- Goal and Privilege Minimization: agent의 목표, tool, 데이터 접근에 least privilege 원칙 적용
- Human-in-the-Loop: high-impact 작업에 명시적 확인 또는 multi-step 승인 요구
- Tool Sandboxing: egress control이 있는 sandbox에서 tool 실행, destructive 작업 전 명시적 확인 요구
- Memory Isolation and Validation: user/task/domain별로 memory 분리, 기록 전 scan 및 검증
- Code Execution Isolation: code 생성과 실행을 승인 gate로 분리, hardened non-root container 사용
- mTLS and Message Signing: inter-agent 통신에 mutual TLS 인증과 암호화 적용, nonce/timestamp 포함
- Circuit Breaker: rate limiting, blast-radius cap, circuit breaker로 cascading failure 억제
- SBOM/AIBOM: 모든 컴포넌트 inventory 유지, dependency pin, integrity 검증
- Behavioral Monitoring: 비정상적인 goal drift와 실행 패턴 탐지, tamper-evident audit log 사용
Reference
[1] OWASP Top 10 for Agentic Applications 2026
[2] goteleport.com - OWASP Top 10 Agentic Applications Overview