OWASP SAMM recebe extensão Agentic SAMM para desenvolvimento seguro com agentes de AI

Em torno do OWASP SAMM, surgiu um novo projeto draft chamado Agentic SAMM, ou ASAMM — uma extensão para equipes que constroem produtos com agentes de IA e usam modelos no desenvolvimento. Seu objetivo é fechar os riscos que o secure SDLC clássico vê mal: contexto malicioso, invocações de ferramentas perigosas e janelas de autonomia muito longas.

Por que o SAMM antigo não é suficiente

O OWASP SAMM clássico funciona bem onde os principais objetos de proteção são código, construção, lançamento e infraestrutura de entrega. Mas em sistemas de agentes, a superfície de ataque vai além: em documentos, tarefas no rastreador, descrições de ferramentas, resultados de busca na web, logs de CI e qualquer outro conteúdo que o modelo lê como parte de seu contexto de trabalho. Se esse contexto influencia o comportamento do agente, ele já se torna parte do plano de controle, não apenas dados de entrada.

É por isso que o autor do ASAMM propõe ver o desenvolvimento não como um ciclo fechado, mas como uma espiral. A equipe passa novamente por design, implementação e revisão, mas em cada iteração, o sistema, ferramentas e as próprias ameaças mudam. Nesse esquema, já não é suficiente verificar se o agente recebeu permissões corretas. Mesmo um agente totalmente autorizado pode executar uma ação que não corresponde à tarefa original se o contexto ou a lógica de delegação o desviarem.

O que o ASAMM oferece

O ASAMM não é concebido como um substituto para o OWASP SAMM, mas como uma extensão para equipes que implantam agentes de IA, servidores MCP e automação com permissões delegadas. O framework adiciona uma camada separada de garantias onde a revisão de código tradicional termina: na fronteira de invocações de ferramentas, no fluxo de contexto, em checkpoints de aprovação e no comportamento do sistema durante a execução. Ele não cancela as práticas básicas do SAMM, mas as estende para comportamento em tempo de execução e ações delegadas.

• Uma taxonomia de ameaças para sistemas de agentes, onde o contexto é tratado como um comando potencial
• Um modelo de confiança de dois eixos para agentes, ferramentas, servidores MCP e fontes de contexto
• Um conjunto de controles nas cinco funções do SAMM com níveis de maturidade e cenários de implementação
• Dois caminhos de implantação: migração de um programa de segurança existente ou implantação do zero
• Mapeamento para NIST AI RMF e recomendações do NCSC para equipes que precisam de compatibilidade com frameworks já familiares

Ênfase especial é dada ao ambiente de desenvolvimento. Plugins de IDE, hooks pre-commit, agentes de CI e conectores MCP externos operam com privilégios de desenvolvedor, mas frequentemente existem fora de um modelo de ameaça completo. Para ASAMM, isso não é um elemento secundário, mas um alvo de análise completo: se um agente pode ler, invocar e modificar mais do que a equipe realmente rastreia, os status verdes nos dashboards deixam de fornecer qualquer garantia. De fato, o ambiente de desenvolvimento se torna produção para o próprio agente.

Onde as equipes já estão cometendo erros

O material lista deslizes típicos que são especialmente visíveis no desenvolvimento de agentes. Uma equipe pode considerar o modelo de ameaça completo, mesmo que não contenha fontes de contexto e nenhum caminho de invocação de ferramentas. Revisão de código pode cobrir todo o código em um PR, mas não tocar em prompts do sistema, schemas de chamadas de ferramentas e configs de agentes. DAST pode mostrar um resultado limpo, mesmo que ninguém tenha testado como o agente se comporta com contexto adversarial. E least privilege muitas vezes é implementado apenas no nível de conta de serviço, sem restringir as ações reais permitidas através de ferramentas.

"Nenhum plano sobrevive ao primeiro contato."

O autor usa esse pensamento como um princípio de design: o prompt do sistema deve definir intenção, não tentar descrever rigidamente todo o algoritmo de comportamento. Daí outro parâmetro crítico de risco: o produto da janela de autonomia e raio de explosão de ferramentas disponíveis. Quanto mais tempo um agente age sem checkpoint humano e quanto mais amplo seu conjunto de capacidades, maior o dano potencial mesmo com direitos de acesso formalmente corretos. É por isso que as janelas de autonomia se tornam um parâmetro arquitetônico, não apenas operacional.

O que isso significa

Agentic SAMM captura uma mudança que já ocorreu no desenvolvimento de IA: segurança agora verifica não apenas código mas comportamento do sistema após lançamento. Para equipes que constroem produtos em cima de agentes e vibe coding, este é um sinal para revisar modelos de ameaça, revisão de código e controle de ferramentas antes que o primeiro erro autônomo se torne um incidente completo.