A OWASP (Open Worldwide Application Security Project) divulgou em dezembro de 2025 o Top 10 de Aplicações Agênticas 2026, documento que identifica as 10 ameaças de maior impacto para sistemas de inteligência artificial que funcionam com autonomia para planejar, decidir e agir em múltiplas etapas e sistemas.
Sistemas agênticos de IA estão avançando rapidamente de projetos-piloto para ambientes de produção nos setores financeiro, saúde, defesa, infraestrutura crítica e setor público, diferenciando-se de automações específicas por planejarem, decidirem e agirem através de múltiplos passos e sistemas, frequentemente em nome de usuários e equipes. O documento identifica 10 categorias principais de vulnerabilidades: sequestro de objetivos do agente (ASI01), uso indevido e exploração de ferramentas (ASI02), abuso de identidade e privilégios (ASI03), vulnerabilidades na cadeia de suprimentos agêntica (ASI04), execução inesperada de código (ASI05), envenenamento de memória e contexto (ASI06), comunicação inter-agente insegura (ASI07), falhas em cascata (ASI08), exploração da confiança humano-agente (ASI09) e agentes desonestos (ASI10).
O sequestro de objetivos do agente representa a vulnerabilidade mais crítica, permitindo que atacantes manipulem os objetivos, seleção de tarefas ou caminhos de decisão de um agente através de injeção de prompt indireto, saídas enganosas de ferramentas, artefatos maliciosos, mensagens forjadas entre agentes ou dados externos envenenados. Diferentemente da injeção de prompt tradicional que afeta uma única resposta de modelo, esta vulnerabilidade captura o impacto agêntico mais amplo onde entradas manipuladas redirecionam objetivos, planejamento e comportamento multi-etapas. O uso indevido de ferramentas ocorre quando agentes aplicam ferramentas legítimas de forma insegura ou não intencional devido a injeção de prompt, desalinhamento ou delegação insegura, levando à exfiltração de dados, manipulação de saída de ferramentas ou sequestro de fluxo de trabalho, com riscos amplificados pela memória do agente, seleção dinâmica de ferramentas e delegação.
A vulnerabilidade de abuso de identidade e privilégios explora a confiança dinâmica e delegação em agentes para escalar acessos e contornar controles manipulando cadeias de delegação, herança de funções, fluxos de controle e contexto do agente, incluindo credenciais em cache ou histórico de conversação através de sistemas interconectados. Vulnerabilidades na cadeia de suprimentos surgem quando agentes, ferramentas e artefatos relacionados fornecidos por terceiros são maliciosos, comprometidos ou adulterados em trânsito, incluindo componentes de origem estática e dinâmica como modelos e pesos de modelos, ferramentas, plugins, conjuntos de dados, outros agentes, interfaces agênticas como MCP (Model Context Protocol) e A2A (Agent2Agent), registros agênticos e canais de atualização. O documento recomenda diversas estratégias de mitigação, incluindo tratamento de todas as entradas de linguagem natural como não confiáveis, aplicação de privilégio mínimo para ferramentas de agentes, validação de intenção do usuário e do agente antes de executar ações críticas, manutenção de logs abrangentes e monitoramento contínuo de atividade de agentes, isolamento de identidades e contextos de agentes, e implementação de sandboxes de execução e controles de saída. A iniciativa foi desenvolvida pela comunidade global OWASP com dezenas de especialistas em segurança da indústria, academia e governo que contribuíram com pesquisa de ameaças, descobertas de equipes vermelhas e mitigações testadas em campo, com suporte de organizações que constroem plataformas agênticas, instituições públicas e fornecedores de produtos.
Este post foi resumido a partir da decisão original com o uso de IA, com revisão humana.
Com informações de OWASP