La IA agéntica se está implementando en producción en pipelines de CI/CD, copilotos internos, flujos de trabajo de soporte al cliente y automatización de infraestructura. Estos sistemas ya no solo invocan un modelo. Planifican, deciden, delegan y actúan en nombre de usuarios y otros sistemas. Esto crea nuevas superficies de ataque que no se ajustan claramente a la seguridad de aplicaciones tradicional ni siquiera al Top 10 OWASP 2025. Para abordar esto, OWASP publicó el Top 10 OWASP para Aplicaciones Agénticas (2026), una lista enfocada en los riesgos de mayor impacto en sistemas autónomos, que utilizan herramientas y multiagente.
Para los equipos que ya utilizan el Top 10 OWASP 2025 como guía para la seguridad web y la seguridad de la cadena de suministro de software, el Top 10 Agéntico extiende la misma mentalidad a los agentes de IA, herramientas, orquestación y autonomía.
¿Por qué un Top 10 OWASP separado para sistemas agénticos?
El Top 10 OWASP original se centra en riesgos como fallos de control de acceso, inyección y configuraciones incorrectas. La actualización de 2025 se expandió a los riesgos modernos de la cadena de suministro, como dependencias maliciosas y pipelines de compilación comprometidos.
Las aplicaciones agénticas introducen propiedades adicionales que cambian fundamentalmente cómo se propaga el riesgo:
- Los agentes operan con autonomía a través de múltiples pasos y sistemas
- El lenguaje natural se convierte en una superficie de entrada que puede contener instrucciones ejecutables
- Las herramientas, plugins y otros agentes se componen dinámicamente en tiempo de ejecución
- El estado y la memoria se reutilizan entre sesiones, roles y tenants.
En respuesta, OWASP introduce el concepto de mínima agencia en la lista de 2026. El principio es simple: conceder a los agentes solo la autonomía mínima necesaria para realizar tareas seguras y delimitadas.
El Top 10 OWASP para Aplicaciones Agénticas (2026)
A continuación se presenta un resumen práctico de cada categoría, basado en el documento de OWASP, redactado para desarrolladores y equipos de seguridad.
ASI01 – Secuestro de Objetivos del Agente
El secuestro de objetivos del agente ocurre cuando un atacante altera los objetivos o la ruta de decisión de un agente a través de contenido de texto malicioso. Los agentes a menudo no pueden separar de forma fiable las instrucciones de los datos. Pueden realizar acciones no deseadas al procesar correos electrónicos, PDF, invitaciones a reuniones, documentos RAG o contenido web envenenados.
Los ejemplos incluyen la inyección indirecta de prompts que provoca la exfiltración de datos internos, documentos maliciosos recuperados por un agente de planificación, o invitaciones de calendario que influyen en la programación o priorización.
La mitigación se centra en tratar la entrada de lenguaje natural como no confiable, aplicar filtrado de inyección de prompts, limitar los privilegios de las herramientas y requerir aprobación humana para cambios de objetivos o acciones de alto impacto.
ASI02 – Mal uso y Explotación de Herramientas
El mal uso de herramientas ocurre cuando un agente utiliza herramientas legítimas de forma insegura. Prompts ambiguos, desalineación o entradas manipuladas pueden hacer que los agentes invoquen herramientas con parámetros destructivos o encadenen herramientas en secuencias inesperadas que lleven a la pérdida o exfiltración de datos.
Los ejemplos incluyen herramientas con privilegios excesivos que pueden escribir en sistemas de producción, descriptores de herramientas envenenados en servidores MCP, o herramientas de shell que ejecutan comandos no validados.
La investigación PromptPwnd de Aikido es un ejemplo real de este patrón. Contenido no confiable de incidencias o solicitudes de extracción de GitHub fue inyectado en prompts en ciertos GitHub Actions y flujos de trabajo de GitLab. Cuando se combinó con herramientas y tokens potentes, esto resultó en la exposición de secretos o modificaciones del repositorio.
La mitigación incluye un alcance estricto de permisos de herramientas, ejecución en sandbox, validación de argumentos y la adición de controles de políticas a cada invocación de herramienta.
ASI03 – Abuso de Identidad y Privilegios
Los agentes a menudo heredan identidades de usuario o de sistema, que pueden incluir credenciales de alto privilegio, tokens de sesión y acceso delegado. El abuso de identidad y privilegios ocurre cuando estos privilegios se reutilizan, escalan o transfieren entre agentes de forma no intencionada.
Los ejemplos incluyen el almacenamiento en caché de claves SSH en la memoria del agente, la delegación entre agentes sin un alcance definido, o escenarios de 'confused deputy'.
La mitigación incluye credenciales de corta duración, permisos con alcance de tarea, autorización aplicada por políticas en cada acción e identidades aisladas para los agentes.
ASI04 – Vulnerabilidades de la Cadena de Suministro Agéntica
Las cadenas de suministro agénticas incluyen herramientas, plugins, plantillas de prompts, archivos de modelos, servidores MCP externos e incluso otros agentes. Muchos de estos componentes se obtienen dinámicamente en tiempo de ejecución. Cualquier componente comprometido puede alterar el comportamiento del agente o exponer datos.
Los ejemplos incluyen servidores MCP maliciosos que suplantan herramientas confiables, plantillas de prompts envenenadas o agentes de terceros vulnerables utilizados en flujos de trabajo orquestados.
La mitigación incluye manifiestos firmados, registros curados, fijación de dependencias (dependency pinning), sandboxing y 'kill switches' para componentes comprometidos.
ASI05 – Ejecución de Código Inesperada
La ejecución de código inesperada ocurre cuando los agentes generan o ejecutan código o comandos de forma insegura. Esto incluye comandos de shell, scripts, migraciones, evaluación de plantillas o deserialización activada a través de la salida generada.
Los ejemplos incluyen asistentes de código que ejecutan parches generados directamente, inyección de prompts que activa comandos de shell, o deserialización insegura en sistemas de memoria de agentes.
La mitigación implica tratar el código generado como no confiable, eliminar la evaluación directa, usar sandboxes reforzados y requerir previsualizaciones o pasos de revisión antes de la ejecución.
ASI06 – Envenenamiento de Memoria y Contexto
Los agentes dependen de sistemas de memoria, embeddings, bases de datos RAG y resúmenes. Los atacantes pueden envenenar esta memoria para influir en futuras decisiones o comportamientos.
Los ejemplos incluyen el envenenamiento de RAG, la fuga de contexto entre tenants y la deriva a largo plazo causada por la exposición repetida a contenido adversarial.
La mitigación incluye la segmentación de la memoria, el filtrado antes de la ingesta, el seguimiento de la procedencia y la caducidad de las entradas sospechosas.
ASI07 – Comunicación Insegura Interagente
Los sistemas multiagente a menudo intercambian mensajes a través de canales MCP, A2A, puntos finales RPC o memoria compartida. Si la comunicación no está autenticada, cifrada o validada semánticamente, los atacantes pueden interceptar o inyectar instrucciones.
Los ejemplos incluyen identidades de agente suplantadas, mensajes de delegación replicados o la manipulación de mensajes en canales no protegidos.
La mitigación incluye TLS mutuo, cargas útiles firmadas, protecciones antirrepetición y mecanismos de descubrimiento autenticados.
ASI08 – Fallos en Cascada
Un pequeño error en un agente puede propagarse a través de la planificación, ejecución, memoria y sistemas posteriores. La naturaleza interconectada de los agentes significa que los fallos pueden agravarse rápidamente.
Los ejemplos incluyen un planificador que alucina emitiendo tareas destructivas a múltiples agentes o un estado envenenado que se propaga a través de agentes de despliegue y políticas.
La mitigación incluye límites de aislamiento, límites de velocidad, disyuntores y pruebas previas al despliegue de planes de varios pasos.
ASI09 – Explotación de la Confianza Humano-Agente
Los usuarios a menudo confían excesivamente en las recomendaciones o explicaciones de los agentes. Los atacantes o agentes desalineados pueden usar esta confianza para influir en decisiones o extraer información sensible.
Los ejemplos incluyen asistentes de codificación que introducen puertas traseras sutiles, copilotos financieros que aprueban transferencias fraudulentas o agentes de soporte que persuaden a los usuarios para que revelen credenciales.
La mitigación implica confirmaciones forzadas para acciones sensibles, registros inmutables, indicadores de riesgo claros y evitar el lenguaje persuasivo en flujos de trabajo críticos.
ASI10 – Agentes Maliciosos
Los agentes maliciosos son agentes comprometidos o desalineados que actúan de forma perjudicial mientras parecen legítimos. Pueden repetir acciones por sí mismos, persistir entre sesiones o suplantar a otros agentes.
Los ejemplos incluyen agentes que continúan exfiltrando datos después de una única inyección de prompt, agentes de aprobación que aprueban silenciosamente acciones inseguras o optimizadores de costes que eliminan copias de seguridad.
La mitigación incluye una gobernanza estricta, sandboxing, monitorización del comportamiento e interruptores de emergencia (kill switches).
La perspectiva de Aikido sobre el Riesgo Agéntico
El Top 10 Agéntico de OWASP se basa en incidentes observados en sistemas reales. El rastreador de OWASP incluye casos confirmados de exfiltración de datos mediada por agentes, RCE, envenenamiento de memoria y compromiso de la cadena de suministro.
El equipo de investigación de Aikido ha observado patrones similares emerger en investigaciones de CI/CD y cadena de suministro. Cabe destacar:
- La clase de vulnerabilidad PromptPwnd , descubierta por Aikido Security, demostró cómo el contenido no confiable de incidencias de GitHub, pull requests y commits puede inyectarse en prompts dentro de GitHub Actions y flujos de trabajo de GitLab. Cuando se combina con herramientas con privilegios excesivos, esto creó rutas de explotación prácticas.
- Las herramientas y acciones CLI mejoradas con IA mostraron cómo las entradas de prompt no confiables podían influir en comandos ejecutados con tokens sensibles.
- Las configuraciones erróneas en flujos de trabajo de código abierto revelaron que los desarrolladores a menudo otorgan a la automatización impulsada por IA más acceso del previsto, a veces incluyendo tokens de repositorio con capacidad de escritura.
Estos hallazgos se superponen con ASI01, ASI02, ASI03, ASI04 y ASI05. Destacan que los riesgos agénticos en CI/CD y la automatización ya son prácticos. Aikido continúa publicando investigaciones a medida que estos patrones evolucionan.
Cómo ayuda Aikido a asegurar el entorno circundante
La plataforma de Aikido se centra en fortalecer el entorno circundante para que cualquier adopción de herramientas agénticas se realice sobre una base más segura.
Lo que hace Aikido hoy
- Identifica configuraciones de flujos de trabajo de GitHub y GitLab inseguras o excesivamente permisivas, como disparadores inseguros o tokens con capacidad de escritura. Estos problemas aumentan el radio de impacto de los ataques tipo PromptPwnd.
- Detecta tokens filtrados, secretos expuestos y privilegios excesivos en repositorios.
- Señala riesgos en la cadena de suministro en las dependencias, incluyendo paquetes vulnerables o comprometidos utilizados por herramientas o código de soporte.
- Saca a la luz configuraciones erróneas en la infraestructura como código que podrían amplificar el impacto de un compromiso de agente.
- Proporciona retroalimentación en tiempo real en el IDE para ayudar a prevenir configuraciones erróneas comunes durante el desarrollo.
El objetivo de Aikido es mejorar la postura de seguridad de los sistemas en los que operan los agentes, no reclamar una cobertura completa de vulnerabilidades agénticas.
Escanee su entorno con Aikido
Si su equipo de ingeniería está explorando flujos de trabajo agénticos o ya utiliza la IA para triaje, automatización o sugerencias de código, fortalecer el entorno circundante es un primer paso importante.
Aikido puede ayudar a identificar configuraciones erróneas, permisos excesivos y debilidades en la cadena de suministro que afectan directamente la seguridad de estos flujos de trabajo.
Empiece gratis con el escaneo de solo lectura, o reserve una demostración para ver cómo Aikido puede ayudar a reducir los riesgos subyacentes que configuran su entorno agéntico.
Protege tu software ahora.
