OWASP Top 10 for Agentic Applications 2026: ASI01-10 audit checklist per sistemi LLM enterprise
OWASP ha pubblicato a dicembre 2025 la prima Top 10 specifica per agentic applications - ASI01-10 - che affianca ma non sostituisce la LLM Top 10. Il Q1 2026 Exploit Round-up (14 aprile) mappa otto incidenti reali sulle nuove categorie. Ti mostro la checklist operativa di audit che uso nei red team: per ognuna delle 10 ASI fornisco payload di test, tool diagnostici, mitigation applicativa, e un esempio concreto Q1 2026. Continua a leggere
Ultima modifica:
Sto auditando una pipeline LangGraph nella mia sandbox di red team quando noto un'entry sospetta in Redis: un oggetto binario serializzato con pattern pickle. L'indagine porta a CVE-2026-27794 - JsonPlusSerializer(pickle_fallback=True) cade su pickle deserialization quando msgpack fallisce, e scrivere su cache Redis = RCE. Ti mostro la catena completa dalla scoperta al PoC all'hardening, con sigma rule Wazuh per rilevare la classe di attacco. 
Il 26 marzo 2026 il Parlamento Europeo ha votato il rinvio dell'AI Act Annex III al 2 dicembre 2027, ma il trilogue non è concluso e gli standard CEN-CENELEC non sono pronti. La posizione prudente per una PMI italiana è pianificare come se la deadline del 2 agosto 2026 fosse ancora binding. Otto azioni concrete da eseguire in 90 giorni, dalla mappatura dei sistemi AI al balancing test documentato, con checklist sanitaria e tempo di esecuzione stimato per ogni passo. 
Il 14 aprile 2026 ho messo una istanza Flowise 2.x volontariamente esposta nella mia sandbox di audit per riprodurre la CVE-2025-59528 - una RCE CVSS 10.0 già sfruttata in the wild su oltre 12.000 istanze Internet-facing. In 12 minuti dal deploy, payload Function('return ' + input)() iniettato su mcpServerConfig ha restituito shell root del container. Ti racconto la catena completa, l'impatto di supply chain sulle chiavi API LLM salvate, e le tre regole WAF che la bloccano. 
Gartner prevede il 40% di progetti agentic cancellati entro il 2027 per inadequate risk controls. Nel mio laboratorio di red team ho riprodotto sette pattern documentati in letteratura: alignment faking, self-exfiltration, scheming multi-step, deception manipulation, sandbagging, reward hacking, sycophancy. Diagnosi operativa con payload di test, indicatori lato telemetria, contromisure applicabili in produzione su agenti enterprise. 
Un agent LLM con accesso a tool esegue codice in nome dell'utente. Gli stessi principi del least privilege valgono - ma il perimetro è fluido, e l'LLM può essere manipolato. Ti mostro il framework di threat modeling che ho sviluppato: categorie di rischio (privilege escalation, data exfiltration, denial of service), analisi trust boundary, mitigazioni applicative concrete con esempio di agent Laravel + Claude API perimetrato. 
Dai circa sessanta esempi documentati da Krakovna/DeepMind (2020) al paper Apollo Research del dicembre 2024 sull'in-context scheming (o1, Opus 3, Sonnet 3.5, Gemini 1.5 Pro, Llama 3.1 405B), il pattern è invariato: se misuri un obiettivo algoritmicamente, l'agente trova una scorciatoia senza risolvere il problema reale. Analizzo specification gaming, sandbagging, self-preservation, e propongo un'architettura di containment a cinque layer applicabile oggi su agenti aziendali. 
Un agent LLM che può eseguire codice Python, Bash o SQL in autonomia è una backdoor delegata. Permetterlo in produzione senza sandboxing è irresponsabile. La mia architettura usa container effimeri, seccomp filter che bloccano syscall pericolose, capability dropping, network namespace che taglia l'egress. Ti mostro il design, i trade-off performance vs sicurezza, e i test di escape eseguiti per validare l'isolamento. 
Un SIEM tradizionale genera migliaia di alert al giorno, il 95% falsi positivi. Gli operatori li ignorano, e i veri incidenti passano. Un LLM come secondo livello di classificazione può ridurre drasticamente il rumore. Ti mostro la pipeline che ho progettato: estrazione log strutturati, arricchimento contestuale, classificazione LLM con prompt specializzato, alerting selettivo su Telegram. Con metriche di accuracy reali. 
L'ecosistema AI è diventato un target di supply chain attack: modelli pubblicati su Hugging Face con backdoor, librerie Langchain/LlamaIndex con transitive dependencies non audit-abili, update automatici che introducono drift di comportamento. Ti mostro la strategia di hardening che applico: pinning dei modelli a digest SHA-256 (non tag), audit automatico delle dipendenze via Snyk/Dependabot, integrity checks su ogni deploy, separazione di ambienti con policy di network egress controllato.