Apa yang terjadi
OWASP menerbitkan 'Agentic Skills Top 10' (AST10) sebagai proyek baru (github.com/OWASP/www-project-agentic-skills-top-10), mendokumentasikan 10 risiko keamanan paling kritis dalam keterampilan agen AI — file konfigurasi (SKILL.md, skill.json, manifest.json, package.json) yang mengatur alat dan kemampuan apa yang dapat dijalankan agen AI. Kerangka kerja ini mencakup ekosistem OpenClaw, Claude Code, Cursor/Codex, dan VS Code dan menyediakan mitigasi berbasis bukti untuk setiap kategori risiko (AST01–AST10).
Mengapa penting
Keterampilan agen/hook adalah permukaan serangan utama untuk agentjacking, poisoning rantai pasokan, dan eskalasi privilese dalam pipeline agentic — namun tidak ada kerangka kerja OWASP sebelumnya yang menangani lapisan ini secara khusus. AST10 menutup celah antara OWASP LLM Top 10 (risiko tingkat model) dan OWASP Top 10 untuk Aplikasi Agentic (risiko perilaku agen) dengan fokus pada lapisan konfigurasi invokasi keterampilan/alat. Temuan audit IDEsaster (100% dari IDE pengkodean AI utama memiliki kerentanan) membuat ini dapat ditindaklanjuti secara langsung.
Tindakan yang diperlukan
Audit semua file konfigurasi keterampilan/hook agen (SKILL.md, skill.json, manifest.json) terhadap daftar periksa AST10. Terapkan least-privilege ke hibah invokasi alat. Perlakukan instalasi keterampilan dari marketplace dengan pengawasan rantai pasokan yang sama seperti paket npm/PyPI.