OWASP Top 10 للتطبيقات الوكيلة: ما يحتاج مطورو واجهة برمجة التطبيقات إلى تغييره

مثال: وكيل تكامل Stripe لديه حق الوصول إلى GET /api/customers/:id و POST /api/refunds. يقرأ الوكيل سجل الدفع الخاص بالعميل، ويحدد المعاملة الأعلى قيمة، ويصدر استردادًا لنفسه. كل مكالمة فردية تمر بالترخيص. السلسلة هي الاستغلال.

تم الإصلاح: حدود الأسعار لكل وكيل وتتبع عمق السلسلة

يقوم تحديد المعدل القياسي باحتساب الطلبات لكل IP أو لكل مفتاح API. يضيف تحديد معدل الوكيل بعدين:

• حدود كل أداة: قم بتحديد عدد المرات التي يمكن فيها لوكيل واحد الاتصال بنقطة نهاية محددة داخل النافذة
• حدود عمق السلسلة: تتبع عدد استدعاءات واجهة برمجة التطبيقات التسلسلية التي يجريها الوكيل في جلسة واحدة وقم بقطعها عند حد محدد

مطالبة الوكلاء بإرسال X-Agent-Session header. تتبع عدد المكالمات لكل جلسة. عندما يتجاوز العدد الحد الخاص بك، قم بإرجاع 429 مع رسالة خطأ واضحة.

3. تسجيل غير كافٍ: لا توجد رؤية لاستدعاءات واجهة برمجة تطبيقات الوكيل

48.9% من المؤسسات لا تستطيع رؤية حركة المرور من آلة إلى آلة. عندما يستغل وكيل واجهة برمجة التطبيقات (API) الخاصة بك، فإنك بحاجة للإجابة: أي وكيل؟ أي نقاط النهاية؟ بأي ترتيب؟ على مدى أي نافذة زمنية؟ سجلات الوصول القياسية إظهار عناوين IP والطوابع الزمنية. لا يظهرون هوية الوكيل أو تسلسل المكالمات.

تشير قائمة وكلاء OWASP إلى عدم كفاية التسجيل باعتباره خطرًا كبيرًا لأن هجمات الوكيل تبدو كذلك حركة المرور المصرح بها. كل طلب فردي يمر بالمصادقة. الاستغلال يعيش في النمط عبر طلبات متعددة.

الإصلاح: طلب رؤوس الإسناد وسلاسل مكالمات السجل

أضف ثلاثة رؤوس مطلوبة لمستهلكي الوكلاء:

• X-Agent-ID: المعرف الفريد للوكيل (مرتبط بمفتاح API الخاص به)
• X-Agent-Session: معرف المهمة أو المحادثة الحالية
• User-Agent: إطار عمل الوكيل وإصداره (على سبيل المثال، LangChain/0.3.1)

// Middleware: log every agent request with attribution
function agentAuditLog(req, res, next) {
  const logEntry = {
    timestamp: new Date().toISOString(),
    agentId: req.headers["x-agent-id"] || "unknown",
    apiKey: req.headers["x-api-key"]?.slice(-8) || "none",
    method: req.method,
    path: req.path,
    sessionId: req.headers["x-agent-session"] || "none",
    ip: req.ip,
    userAgent: req.headers["user-agent"]
  };

  // Structured JSON log for your SIEM
  console.log(JSON.stringify(logEntry));

  // Track chain depth per session
  const session = req.headers["x-agent-session"];
  if (session) {
    const depth = chainTracker.increment(session);
    if (depth > MAX_CHAIN_DEPTH) {
      return res.status(429).json({
        error: "Agent chain depth exceeded",
        maxDepth: MAX_CHAIN_DEPTH,
        currentDepth: depth
      });
    }
  }

  next();
}

تسجل هذه البرامج الوسيطة كل طلب على هيئة JSON منظم، والذي يغذي أي SIEM أو مجمع السجلات. كما أنه يفرض عمق السلسلة من خلال تتبع المكالمات المتسلسلة لكل جلسة. عندما تقوم بالتحقيق في حادثة ما، يمكنك إعادة بناء السلسلة الكاملة عن طريق التصفية sessionId.

4. التعامل مع المخرجات بشكل غير آمن: يثق الوكلاء في استجابات واجهة برمجة التطبيقات (API) دون التحقق من صحتها

يتصل الوكيل بواجهة برمجة التطبيقات (API) الخاصة بك، ويتلقى استجابة JSON، ويمررها إلى الخطوة التالية في سلسلتها. إذا إذا احتوت الاستجابة على حقول غير متوقعة أو أنواع خاطئة أو محتوى تم إدخاله، يقوم الوكيل بنشر المشكلة المصب. هذا هو المعادل الوكيل لـ OWASP API10 (الاستهلاك غير الآمن لواجهات برمجة التطبيقات)، والذي تم تضخيمه بواسطة حقيقة أن الوكلاء يعالجون الاستجابات تلقائيًا دون مراجعة بشرية.

مثال: يقوم أحد المنافسين باختراق واجهة برمجة تطبيقات تسعير تابعة لجهة خارجية. يقوم الوكيل بإحضار المنتج الأسعار، يتلقى ردا مع التلاعب بها price تم ضبط الحقل على 0.01، ووضع أمر بهذا السعر. لم يرى أي إنسان الرد على الإطلاق.

الإصلاح: التحقق من صحة كل استجابة مقابل مخطط JSON

ابدأ بإنشاء مخطط من استجابة معروفة جيدًا. ال /v1/schema/json-to-jsonschema تنتج نقطة النهاية مخطط JSON من أي عينة JSON:

curl -s -X POST https://api.botoi.com/v1/schema/json-to-jsonschema \\
  -H "Content-Type: application/json" \\
  -H "X-API-Key: YOUR_API_KEY" \\
  -d '{
    "json": {
      "orderId": "ord_12345",
      "status": "shipped",
      "total": 49.99,
      "items": [
        { "sku": "WIDGET-A", "quantity": 2 }
      ]
    }
  }'

إجابة:

{
  "success": true,
  "data": {
    "schema": {
      "type": "object",
      "properties": {
        "orderId": { "type": "string" },
        "status": { "type": "string" },
        "total": { "type": "number" },
        "items": {
          "type": "array",
          "items": {
            "type": "object",
            "properties": {
              "sku": { "type": "string" },
              "quantity": { "type": "integer" }
            }
          }
        }
      }
    }
  }
}

ثم تحقق من صحة كل استجابة يتلقاها وكيلك مقابل هذا المخطط. ال /v1/schema/validate تتحقق نقطة النهاية من كائن JSON مقابل أي مخطط JSON وترجع أخطاء محددة:

curl -s -X POST https://api.botoi.com/v1/schema/validate \\
  -H "Content-Type: application/json" \\
  -H "X-API-Key: YOUR_API_KEY" \\
  -d '{
    "schema": {
      "type": "object",
      "required": ["orderId", "status", "total"],
      "properties": {
        "orderId": { "type": "string" },
        "status": { "type": "string", "enum": ["pending", "shipped", "delivered"] },
        "total": { "type": "number", "minimum": 0 }
      },
      "additionalProperties": false
    },
    "data": {
      "orderId": "ord_12345",
      "status": "shipped",
      "total": 49.99,
      "internalNote": "rush order"
    }
  }'

إجابة:

{
  "success": true,
  "data": {
    "valid": false,
    "errors": [
      {
        "path": "",
        "message": "must NOT have additional properties: internalNote"
      }
    ]
  }
}

تم القبض على التحقق من الصحة internalNote، وهو الحقل الذي لا ينتمي إلى الرد. إذا كان API يبدأ بإرجاع حقول غير متوقعة، ويتوقف وكيلك عن المعالجة بدلاً من تمرير البيانات الملوثة إلى مجرى النهر.

إليك النمط الكامل باستخدام Botoi Node.js SDK:

import Botoi from "botoi";

const botoi = new Botoi({ apiKey: process.env.BOTOI_API_KEY });

// Step 1: generate a schema from a known-good response
const schemaResult = await botoi.schema.jsonToJsonschema({
  json: knownGoodResponse
});
const responseSchema = schemaResult.data.schema;

// Step 2: validate every agent-received response against that schema
async function validateAgentResponse(response) {
  const validation = await botoi.schema.validate({
    schema: responseSchema,
    data: response
  });

  if (!validation.data.valid) {
    console.error("Response failed validation:", validation.data.errors);
    throw new Error("Untrusted response rejected by schema validation");
  }

  return response;
}

5. نقاط الضعف في سلسلة التوريد: تعريفات الأدوات المعرضة للخطر

يكتشف وكلاء الذكاء الاصطناعي الأدوات من خلال خوادم MCP ومواصفات OpenAPI وبيانات الأداة. إذا قام المهاجم بتعديل تعريف الأداة، يستدعي الوكيل نقطة نهاية مختلفة، أو يرسل البيانات إلى خادم مختلف، أو ينفذها بمعلمات مختلفة عما أراده المطور.

مثال: يمكنك استخدام خادم MCP مفتوح المصدر يحدد 30 أداة. يقدم المهاجم طلب سحب يغير عنوان URL لواجهة برمجة التطبيقات لأداة واحدة من api.stripe.com ل api.str1pe.com. يجتاز التغيير مراجعة التعليمات البرمجية لأنه يتكون من حرف واحد. وكيلك يرسل الآن بيانات الدفع إلى خادم المهاجم.

إصلاح: تعريفات أداة التجزئة والتحقق منها في وقت التشغيل

قم بتجزئة كل تعريف للأداة في وقت النشر. قبل أن يقوم وكيلك بتسجيل الأداة في وقت التشغيل، قم بتجزئتها مرة أخرى ومقارنة. ال /v1/hash تقوم نقطة النهاية بإنشاء تجزئة SHA-256 لأي سلسلة:

curl -s -X POST https://api.botoi.com/v1/hash \\
  -H "Content-Type: application/json" \\
  -H "X-API-Key: YOUR_API_KEY" \\
  -d '{
    "text": "{\\"name\\":\\"get_order_status\\",\\"description\\":\\"Retrieve current order status by order ID\\",\\"parameters\\":{\\"orderId\\":\\"string\\"}}",
    "algorithm": "sha256"
  }'

إجابة:

{
  "success": true,
  "data": {
    "hash": "a3f2b8c1d4e5f67890abcdef1234567890abcdef1234567890abcdef12345678",
    "algorithm": "sha256"
  }
}

إليك سير العمل الكامل للتحقق من التكامل باستخدام Botoi SDK:

import Botoi from "botoi";
import fs from "fs";

const botoi = new Botoi({ apiKey: process.env.BOTOI_API_KEY });

// Hash every tool definition at deploy time
const toolDefs = JSON.parse(fs.readFileSync("./mcp-tools.json", "utf-8"));
const hashes = {};

for (const tool of toolDefs) {
  const result = await botoi.hash.sha256({
    text: JSON.stringify(tool)
  });
  hashes[tool.name] = result.data.hash;
}

fs.writeFileSync("./tool-hashes.json", JSON.stringify(hashes, null, 2));

// At runtime, verify before registering any tool
async function verifyToolIntegrity(tool) {
  const result = await botoi.hash.sha256({
    text: JSON.stringify(tool)
  });
  const expected = hashes[tool.name];

  if (result.data.hash !== expected) {
    throw new Error(
      \`Tool "\${tool.name}" failed integrity check. \\n\` +
      \`Expected: \${expected}\\n\` +
      \`Got: \${result.data.hash}\`
    );
  }
}

قم بتشغيل خطوة إنشاء التجزئة في خط أنابيب CI الخاص بك. قم بتخزين ملف التجزئة بجانب عملية النشر الخاصة بك قطعة أثرية. في وقت التشغيل، يتم التحقق من كل أداة قبل التسجيل. حرف واحد تم تغييره في أي تعريف الأداة يؤدي إلى فشل فادح.

وكيل OWASP أعلى 10 مقابل أعلى 10 لأمن API: المقارنة

والقائمتان تكملان بعضهما البعض. فيما يلي كيفية ربط مخاطر الوكيل الخمسة بأقرب أمان لواجهة برمجة التطبيقات (API) الخاصة بها نظرائهم وما التغييرات:

قائمة مراجعة الشحن: خمسة إصلاحات لأمان واجهة برمجة التطبيقات الوكيلة

كل إصلاح مستقل. اختر واحدًا، واشحنه، وانتقل إلى التالي.

ماذا يأتي بعد ذلك

يوجد برنامج OWASP Top 10 الكامل للتطبيقات الوكيلة في owasp.org. أعلنت كل من Cisco وMicrosoft وGoogle عن مبادرات أمنية وكيلة في RSAC 2026، لذا توقع ذلك الأدوات والمعايير للتحرك بسرعة خلال بقية العام.

المخاطر الخمسة المتبقية في القائمة (الحقن الفوري، تسمم الذاكرة، الفشل المتتالي، البيانات يتطلب التسرب وعدم كفاية وضع الحماية) إصلاحات في طبقة إطار عمل الوكيل، وليس طبقة واجهة برمجة التطبيقات. إذا إذا قمت بتشغيل إطار عمل وكيل، فاقرأ مستند OWASP الكامل. إذا قمت بتشغيل واجهات برمجة التطبيقات، فإن الإصلاحات الخمسة المذكورة أعلاه هي نقطة البداية الخاصة بك.

ابدأ بمفاتيح API ذات النطاق. يؤدي هذا التغيير الفردي إلى منع غالبية إساءة استخدام الوكالة والأداة بشكل مفرط سيناريوهات. ثم أضف رؤوس الإسناد حتى تتمكن من رؤية ما يفعله وكلاؤك. والباقي يتبع من الرؤية.