ДокументацияБиблиотека
БИБЛИОТЕКА ЗАЩИТЫ ИИ

Agentic SAMM / ASAMM: зрелость защиты AI-агентов

Agentic SAMM (ASAMM) - прикладная модель зрелости для систем, где LLM не просто отвечает в чате, а действует: вызывает инструменты, пишет код, ходит в MCP-серверы, читает RAG, использует память, маршрутизируется между провайдерами и может тратить деньги клиента.

Для Spectorn это не отдельная "бумажная" методика, а карта продукта:

  • API-шлюз: клиент получает OpenAI-compatible API, доступные ему модели, BYOK или hosted-provider routing, политики, лимиты, аудит и защиту на входе/выходе.
  • Защитный контур: клиент может купить не весь шлюз, а слой проверки промптов, ответов, RAG, инструментов, агентов и webhooks.
  • Память: отдельный слой для provenance, TTL, изоляции tenant, удаления, сканирования poisoning и контроля долгоживущего контекста.
  • Кабинет и админка: владелец видит ключи, провайдеров, политики, логи, evidence, статус и зрелость agentic security.

ASAMM полезен потому, что у агентных систем поверхность атаки шире, чем у классического API: уязвимость может жить в tool schema, системном промпте, памяти, MCP-транспорте, fallback-маршруте модели, billing-логике, webhook или старом JWT.

Источники и статус

ASAMM - развивающаяся практика, а не завершенный ISO-стандарт. В этом материале мы используем ее как инженерный чеклист, совмещая идеи из обзора Agentic SAMM на Habr, открытого репозитория scadastrangelove/asamm и практики defensive security assessment Spectorn.

Пять доменов ASAMM

ДоменЧто защищаетЧто дает в Spectorn
AG - Agentic GovernanceИнвентарь, риск, автономность, комплаенс, человеческая ответственностьTenant policy, API keys, provider policy, ASAMM posture, audit
AD - Agentic DesignАрхитектура агентов, MCP, инструментов, памяти и trust boundariesРеференсные схемы API gateway, protection-only и gateway+memory
AI - Agentic ImplementationПромпты, контекст, tool calls, память, coding agents, identityGateway enforcement, BYOK, prompt/context checks, memory controls
AV - Agentic VerificationThreat model, red-team, regression, jailbreak/prompt injection testsBlack-box checks, vitest/cargo gates, release-evidence
AO - Agentic OperationsMonitoring, incident response, drift, vulnerability management, deployStatus, logs, self-defense, nginx/Docker hardening, smoke tests

21 контролей

IDКонтрольSpectorn baselineСледующее усиление
AG-1Automated Discovery, Inventory and Risk ProfilingПровайдеры, модели, ключи, tenant metadataРеестр агентов/MCP с владельцем, data class и autonomy budget
AG-2Autonomy Policy ManagementПолитики, allow/deny моделей, API-key scopeБюджеты автономности на ключ/агента/tool-chain
AG-3Adaptive Risk ManagementSelf-defense, scan history, rate limitsАвтоужесточение политик при росте риска
AG-4Dynamic Compliance ManagementNIST AI RMF, EU AI Act, MITRE ATLAS, OWASP LLM Top 10 в библиотекеЭкспорт ASAMM evidence pack для аудита
AG-5Human Oversight and AccountabilityAdmin audit, роли, protected admin shellApproval gates для hosted-provider, destructive tools и memory writes
AD-1Secure Agentic ArchitectureNginx split, Docker compose, dashboard middleware, gateway policyРеференсные схемы под разные режимы покупки
AD-2MCP Security and Toolchain GovernanceMCP docs, tool injection playbooksMCP registry, signed metadata, tool allowlists, private egress policy
AD-3Agentic Data Flow and Trust Boundary MappingWebhook tests, OpenAPI route, log redaction, dashboard API authData-flow diagram по включенным провайдерам, webhooks, memory и policies
AI-1Prompt and Context EngineeringScan endpoint, playground, prompt-injection detectionContext provenance labels в логах и кабинете
AI-2Autonomous Tool Invocation SecurityExcessive agency playbook, policy hooksTool-call firewall events: tool, schema hash, input/output risk
AI-3Memory Systems SecurityRAG poisoning, data exfiltration, retention guidanceMemory gateway: provenance, TTL, redaction, tenant isolation, erase evidence
AI-4Agentic Coding SecurityRegression gates, dependency overrides, release evidenceФирменный CLI evidence для diff/dependency/code-agent checks
AI-5Identity and Access Control for AgentsAPI-key lifecycle, BYOK, stale-token handling, tenant policy snapshotAgent identity claims и per-agent revocation
AV-1Agentic Threat Modeling and Risk AssessmentsAuth, API keys, routing, SSRF, admin, nginx, Docker audit mapTenant wizard и downloadable ASAMM risk register
AV-2Security Testing of Agentic BehaviorBlack-box checks, API-key tests, webhook tests, middleware testsSafe simulated tool-use probes без атаки сторонних провайдеров
AV-3Agentic Security Regression TestingVitest, cargo, smoke, release-evidenceЕжедневный production-safe synthetic security suite
AV-4Robustness Testing against Jailbreak and Prompt InjectionThreat library, scan endpoint, playground, policiesОтраслевые red-team packs с before/after evidence
AO-1Autonomous Monitoring and Incident ResponseStatus, logs, engine health, self-defenseIncident timeline export и tenant-facing recovery actions
AO-2Agentic Drift and Anomaly DetectionLogs, billing, provider health, scan historyBaselines по tool chains, memory access, spend spikes, fallback
AO-3Agentic Vulnerability ManagementDependency overrides, launch preflight, academyVulnerability inventory для MCP, prompt templates, SDK, integrations
AO-4Secure Deployment and Configuration ManagementTLS, CORS, metrics token, registration gate, direct-origin nginxSigned deployment evidence manifest

Режимы клиента Spectorn

1. Клиент покупает API-шлюз

Клиенту не нужен новый SDK и не нужно перестраивать приложение. Базовый путь:

  1. Заменить base_url на https://spectorn.xyz/v1.
  2. Использовать Spectorn API key.
  3. Выбрать доступную модель или alias.
  4. При BYOK передавать ключ провайдера в согласованном заголовке.
  5. Получать защиту, маршрутизацию, лимиты, логи и evidence через Spectorn.

Главная ценность: клиент не строит собственный multi-provider gateway, не решает вопрос OpenRouter-like доступности, не хранит все guardrails в приложении и получает единый слой контроля.

2. Клиент покупает только защиту

Если клиент не хочет менять модельный шлюз, Spectorn работает как защитный контур:

  • pre-flight scan для входящих промптов;
  • post-flight scan для ответов;
  • RAG и memory scan;
  • webhook/event intake;
  • policy decision API;
  • evidence для SOC, compliance и разборов инцидентов.

В этом режиме важно не требовать от клиента переноса трафика моделей. Spectorn должен быть легко добавляемым guardrail рядом с существующим стеком.

3. Клиент покупает gateway + protection + memory

Это максимальный режим: Spectorn контролирует provider routing, политики, ключи, защиту, память и evidence. Здесь ASAMM раскрывается полностью: агент получает управляемую идентичность, memory provenance, tool-call контроль, drift/anomaly detection и audit trail.

Отраслевые сценарии

Банки, финансы, HFT

Риски: prompt injection в аналитике, утечка PII/PCI, tool-call к платежам, злоупотребление провайдерским fallback, дорогое потребление токенов.

Контроли: AG-2, AI-5, AI-3, AV-2, AO-2.

Что делать:

  • разделять ключи по продуктам и агентам;
  • запрещать высокорисковые модели для regulated workflows;
  • включать spend limits и anomaly alerts;
  • хранить evidence по каждому blocked или downgraded запросу;
  • проверять RAG и память на poisoning.

Телеком и NOC-агенты

Риски: агент получает доступ к NOC-инструментам, меняет конфигурацию, раскрывает данные абонентов, вызывает tools слишком часто.

Контроли: AD-2, AI-2, AO-1, AO-2, AV-3.

Что делать:

  • строить MCP/tool allowlist;
  • требовать approval для destructive network actions;
  • отделять наблюдение от изменения конфигураций;
  • вести tool-call evidence;
  • отслеживать drift по частоте команд и шаблонам запросов.

Госсектор и КИИ

Риски: data residency, суверенные модели, air-gapped deployment, supply chain, insider misuse, компрометация памяти.

Контроли: AG-4, AD-1, AI-3, AI-5, AO-4.

Что делать:

  • использовать self-hosted deployment;
  • отключать внешние provider fallback;
  • закреплять разрешенные модели и провайдеры на уровне tenant policy;
  • хранить evidence локально;
  • строить отдельный контур для памяти и удаления данных.

Healthcare и PII/PHI

Риски: PHI в промптах, hallucination в рекомендациях, долгоживущая память пациента, RAG poisoning в базе знаний.

Контроли: AI-1, AI-3, AV-4, AG-5, AD-3.

Что делать:

  • маркировать контекст по источнику и классу данных;
  • маскировать PII/PHI до провайдера;
  • хранить TTL и erase evidence для памяти;
  • разделять clinical support и administrative assistants;
  • не давать агенту автономно принимать медицинские решения.

SaaS, support, chatbots

Риски: prompt injection от пользователя, раскрытие system prompt, утечка CRM, tool-call к billing/support actions, публичная регистрация abuse.

Контроли: AI-1, AI-2, AV-4, AO-1, AG-2.

Что делать:

  • включать prompt injection и data exfiltration checks;
  • ограничивать инструменты support-агента;
  • делать per-tenant API keys;
  • логировать blocked actions без секретов;
  • использовать safe fallback вместо прямой передачи ошибки модели пользователю.

DevSecOps и coding agents

Риски: агент пишет небезопасный diff, добавляет зависимость, раскрывает секреты в логах, меняет deploy config, игнорирует тесты.

Контроли: AI-4, AV-3, AO-3, AO-4, AG-5.

Что делать:

  • требовать evidence по diff и dependency changes;
  • гонять security regression tests до deploy;
  • блокировать секреты в prompt/log/output;
  • проверять Docker/nginx/env изменения отдельными тестами;
  • отправлять high-risk изменения на human approval.

MCP и инструменты

MCP делает агента полезным, но резко увеличивает blast radius. Минимальный baseline:

  • реестр MCP-серверов: владелец, версия, transport, auth, data classes;
  • signed metadata или хотя бы pinned config;
  • tool allowlist на tenant/key/agent;
  • запрет private IP egress, если tool ходит наружу;
  • schema hash и evidence для каждого tool call;
  • разделение read-only и write/destructive tools;
  • approval для действий, которые меняют деньги, доступы, данные или инфраструктуру.

Память

Память нельзя считать просто "длинным контекстом". Это persistent attack surface.

Минимальный baseline:

  • provenance: кто записал, из какого запроса, каким policy decision;
  • TTL и expiration;
  • tenant isolation;
  • redaction до записи;
  • poisoning scan;
  • erase evidence;
  • запрет автоматического повышения trust уровня старой памяти;
  • отдельные правила для user memory, org memory, vector memory и tool-derived memory.

Что должно быть в evidence pack

Для промышленного клиента полезен не красивый отчет, а набор проверяемых артефактов:

  • список моделей, провайдеров и aliases;
  • ключи и их tenant-scoped policy snapshot без секретов;
  • включенные policies и guardrails;
  • blocked/allowed decisions по тестовым сценариям;
  • webhook secret handling;
  • CORS/origin/TLS/nginx posture;
  • Docker ports, networks, volumes, healthchecks;
  • результаты security regression tests;
  • ASAMM maturity score;
  • список открытых high-risk gaps.

Минимальный launch checklist

  • API gateway отвечает на health и OpenAI-compatible endpoints.
  • Регистрация либо закрыта, либо защищена от abuse.
  • API-key lifecycle работает: issuance, revoke, rotation, tenant scope.
  • Hosted-provider fallback не включается без политики tenant.
  • BYOK не логируется и не попадает в evidence.
  • SSRF/private IP egress закрыт для provider base_url и tool URLs.
  • Dashboard/admin требуют auth и role checks.
  • Public metadata не раскрывает секреты, internal ports, metrics token.
  • Nginx/TLS/CORS/Host header проверены black-box.
  • Docker не публикует Postgres/Redis наружу.
  • Память имеет хотя бы минимальный режим: provenance, TTL, erase.
  • Release-evidence хранится рядом с деплоем.

FAQ

ASAMM заменяет OWASP LLM Top 10?

Нет. OWASP LLM Top 10 хорошо описывает классы угроз, а ASAMM помогает организовать зрелость: кто владеет контролем, где evidence, как проверить, что защита работает постоянно.

Клиенту API-шлюза нужно менять весь код?

Нет. Базово меняется base_url, ключ и выбранная модель/alias. Это и есть ценность шлюза: сложность multi-provider routing, политики и защита уезжают в Spectorn.

Почему память вынесена отдельно?

Потому что память переживает один запрос. Если ее отравили, украли или неправильно переиспользовали, атака становится долгоживущей.

Можно ли использовать ASAMM для protection-only клиента?

Да. Тогда основные домены - AI, AV и AO: scan, policy decision, evidence, regression, incident response. Governance и Design остаются как рекомендации для зрелости.

Agentic SAMM / ASAMM: зрелость защиты AI-агентов | Spectorn | Spectorn