Loni to byly hypotézy, letos jsou to CVE. Bezpečnost AI agentů dostala účet
Začátkem června 2026 vydal OWASP druhou verzi reportu o bezpečnosti agentní AI. Rozdíl proti loňsku je zásadní: tam, kde byl předtím seznam teoretických rizik, jsou teď reálné incidenty, vendor advisories a CVE u skoro každé položky. Prompt injection meziročně vzrostl o 340 procent a podle expertů možná nejde o opravitelnou chybu, ale o trvalou vlastnost.
Foto: Unsplash / FlyD
Tento článek vznikl zpracováním veřejně dostupných zdrojů pomocí AI nástrojů. Každý text se snažím přečíst a věcně zkontrolovat, ale ne vždy to zvládnu. Prosím, berte na to ohled a informace si ověřujte v původních zdrojích (níže).
Tento článek vznikl zpracováním veřejně dostupných zdrojů pomocí AI nástrojů. Každý text se snažím přečíst a věcně zkontrolovat, ale ne vždy to zvládnu. Prosím, berte na to ohled a informace si ověřujte v původních zdrojích (níže).
Mezi seznamem věcí, které by se mohly pokazit, a seznamem věcí, které se právě pokazily, je propast. Bezpečnost AI agentů ji za jediný rok přešla celou.
Začátkem června 2026 vydal OWASP Gen AI Security Project druhou verzi reportu State of Agentic AI Security and Governance. Klíčová věta je v porovnání s loňským vydáním: edice 2025 katalogizovala architektonické obavy, tedy věci, které by teoreticky mohly selhat. Edice 2026 ke skoro každé položce přidává produkční incidenty, vendor advisories a konkrétní CVE. Hrozby přestaly být hypotézou.
📚 Co je OWASP a proč na něm záleží
OWASP (Open Worldwide Application Security Project) je nezisková organizace, která vydává de facto standardy pro bezpečnost softwaru. Její žebříček OWASP Top 10 je v klasické webové bezpečnosti referenční dokument, podle kterého se řídí vývojáři i auditoři po celém světě. Když OWASP vydá Top 10 pro agentní aplikace, znamená to, že se z bezpečnosti AI agentů stává standardizovaná disciplína, ne ad-hoc starost jednotlivých týmů. Je to signál, že odvětví dozrálo do fáze, kdy potřebuje sdílený jazyk pro rizika.
Prompt injection, vada nebo trvalý stav
Nejčastější příčinou selhání agentních systémů v produkci zůstává prompt injection, tedy útok, při kterém škodlivá instrukce ukrytá v datech, která agent zpracovává, přepíše jeho původní zadání. Meziročně podle dat citovaných v reportu vzrostl o 340 procent.
Znepokojivější než to číslo je ale posun v tom, jak o problému přemýšlejí experti. Stále častěji zaznívá názor, že prompt injection není bug, který se dá zalátat, ale strukturální vlastnost toho, jak jazykové modely fungují. Model nedokáže spolehlivě rozlišit mezi instrukcí od svého provozovatele a instrukcí schovanou v datech, protože obojí je pro něj text. Pokud to platí, neexistuje patch, který by to vyřešil. Existuje jen architektura, která s tím počítá.
Od chatbotů k agentům, a od chyb k průnikům
Vzorec, který tu sledujeme dlouho, dostal v reportu jméno. OWASP přidal takzvaný Enterprise Adoption Maturity Model a v něm pojmenoval jádro problému: většina organizací nasazuje agenty rychleji, než je dokáže řídit. Governance stále operuje na úrovni navržené pro AI copiloty, tedy nástroje, které člověku radí, zatímco firmy už reálně provozují custom a multi-agentní systémy, které jednají samy.
Rozdíl není kosmetický. Copilot, který poradí špatně, vyrobí chybu, kterou člověk zachytí. Agent, který jedná autonomně a nechá se zmanipulovat, vyrobí průnik. Report proto přidává i sekce o agent identity, AI SBOM (soupis komponent AI systému) a provenance dodavatelského řetězce. To jsou všechno disciplíny převzaté z klasické softwarové bezpečnosti, narychlo přizpůsobené světu, kde software jedná z vlastní iniciativy.
Návaznost na to, co už víme
Pro nás to není nový příběh, je to potvrzení trajektorie. Psali jsme o OpenClaw, který se z virálního hitu zvrhl v bezpečnostní krizi, o útoku na dodavatelský řetězec OpenAI i o AI worms, kteří se šíří mezi agenty. OWASP report tyhle jednotlivé epizody spojuje do jednoho obrazu: nejde o sérii nešťastných náhod, ale o systematicky podceněnou třídu rizik, která dospěla do produkce.
A tady se to dotýká i regulace. Report mapuje vznikající regulatorní krajinu kolem škod způsobených agenty, což znamená, že se k bezpečnosti AI agentů začínají vázat právní důsledky, ne jen reputační. Pro firmy v EU se to potkává s blížícím se srpnovým milníkem AI Actu: enforcement a bezpečnostní očekávání dorazí zhruba ve stejnou chvíli.
Závěr reportu je nepříjemně jednoduchý. Agenti se nasazují plošně, jejich attack surface je největší ze všech AI systémů, a obrana zaostává za adopcí. Dobrá zpráva je, že odvětví konečně má sdílený jazyk, jak o tom mluvit. Špatná je, že ho potřebovalo až poté, co CVE začaly přibývat rychleji než pojistky.
Zdroj obrázku: Unsplash
Zdroje
- OWASP Gen AI Security Project: State of Agentic AI Security and Governance 2.01
- Help Net Security: Prompt injection still drives most agentic AI security failures in production
- TechTimes: AI Agent Security Hits Its Reckoning, Prompt Injection May Be a Permanent Flaw
- Infosecurity Magazine: OWASP Introduces Agentic AI Security Maturity Framework