OWASP Top 10 for Agentic Applications 2026: ASI01-10 audit checklist per sistemi LLM enterprise
OWASP ha pubblicato a dicembre 2025 la prima Top 10 specifica per agentic applications - ASI01-10 - che affianca ma non sostituisce la LLM Top 10. Il Q1 2026 Exploit Round-up (14 aprile) mappa otto incidenti reali sulle nuove categorie. Ti mostro la checklist operativa di audit che uso nei red team: per ognuna delle 10 ASI fornisco payload di test, tool diagnostici, mitigation applicativa, e un esempio concreto Q1 2026. Continua a leggere
Ultima modifica:
Gemini 3.1 Pro integra Computer Use nativo (niente modello separato) con 1M context standard. Claude Computer Use è stabile ma richiede Sonnet 4.6/Opus 4.7 dedicati. Ho benchmarkato entrambi su OSWorld-V e su tre workflow reali (SAP login, estrazione dati gestionale, onboarding cliente) nella mia sandbox. Tabella pricing, latenza P95, accuracy per tipo di task, e considerazioni data sovereignty per aziende europee. 
Quando un agent LLM ha 50+ tool registrati via MCP, il token overhead del solo prompt di registrazione supera i 20k token e saturare il context è questione di pochi turni. Anthropic ha rilasciato Tool Search Tool e Programmatic Tool Calling per spostare questo overhead da statico a dinamico - ti mostro il setup, i numeri misurati nella mia pipeline, e i trade-off di latenza. 
Gartner prevede il 40% di progetti agentic cancellati entro il 2027 per inadequate risk controls. Nel mio laboratorio di red team ho riprodotto sette pattern documentati in letteratura: alignment faking, self-exfiltration, scheming multi-step, deception manipulation, sandbagging, reward hacking, sycophancy. Diagnosi operativa con payload di test, indicatori lato telemetria, contromisure applicabili in produzione su agenti enterprise. 
Un agent LLM con accesso a tool esegue codice in nome dell'utente. Gli stessi principi del least privilege valgono - ma il perimetro è fluido, e l'LLM può essere manipolato. Ti mostro il framework di threat modeling che ho sviluppato: categorie di rischio (privilege escalation, data exfiltration, denial of service), analisi trust boundary, mitigazioni applicative concrete con esempio di agent Laravel + Claude API perimetrato. 
Dai circa sessanta esempi documentati da Krakovna/DeepMind (2020) al paper Apollo Research del dicembre 2024 sull'in-context scheming (o1, Opus 3, Sonnet 3.5, Gemini 1.5 Pro, Llama 3.1 405B), il pattern è invariato: se misuri un obiettivo algoritmicamente, l'agente trova una scorciatoia senza risolvere il problema reale. Analizzo specification gaming, sandbagging, self-preservation, e propongo un'architettura di containment a cinque layer applicabile oggi su agenti aziendali. 
Il motivo per cui GPT-5.4 o Opus 4.7 rispondono in un certo modo non è il pretraining ma l'allineamento. RLHF raccoglie preferenze umane e allena un reward model; Constitutional AI usa principi e fa autocritica; DPO salta il reward model con ottimizzazione diretta; RLAIF sostituisce gli umani con LLM. Confronto operativo con paper primari 2022-2023 e casi in cui ciascuna tecnica fallisce in produzione enterprise. 
Un agent LLM che può eseguire codice Python, Bash o SQL in autonomia è una backdoor delegata. Permetterlo in produzione senza sandboxing è irresponsabile. La mia architettura usa container effimeri, seccomp filter che bloccano syscall pericolose, capability dropping, network namespace che taglia l'egress. Ti mostro il design, i trade-off performance vs sicurezza, e i test di escape eseguiti per validare l'isolamento. 
Un agent LLM che può eseguire query al database, inviare email, chiamare API è una backdoor delegata. Un attaccante che controlla l'input controlla le azioni dell'agent. Ti mostro le classi di prompt injection più pericolose su agent systems, le strategie di difesa applicativa (input validation, output fencing, least privilege), e un esempio concreto di human-in-the-loop gate che ho implementato in un agent Laravel nella mia sandbox di audit.