OWASP Agentic Skills Top 10: a nova superfície de ataque da IA

Escrito por Leonardo Pinheiro

A evolução da inteligência artificial trouxe ganhos significativos para produtividade, automação e tomada de decisão. Mas, como acontece com toda nova tecnologia, também ampliou a superfície de ataque. Em 2026, esse movimento ganha uma nova camada: os chamados agentes de IA e, principalmente, as “skills” que definem como esses agentes operam.

Não se trata apenas de modelos mais inteligentes, mas de sistemas capazes de executar ações, integrar ferramentas e interagir com ambientes reais. Nesse contexto, a OWASP lançou o Agentic Skills Top 10, um guia que organiza os principais riscos associados a esse novo ecossistema — e que rapidamente se torna uma referência para quem está construindo, utilizando ou protegendo soluções baseadas em agentes.

Mais do que uma lista técnica, esse material aponta para uma mudança importante: a segurança em IA não está mais apenas no modelo, mas também na forma como ele se conecta ao mundo.

O que muda com os agentes de IA?

Ao contrário de aplicações tradicionais de IA, os agentes não apenas respondem — eles agem. Com isso, eles podem:

• Acessar APIs;
• Executar comandos;
• Manipular dados;
• Interagir com sistemas internos.

As skills funcionam como a interface entre o agente e o ambiente. Elas definem o que pode ser acessado, como as ações são executadas e quais dados estão envolvidos. Em outras palavras, elas se tornam uma nova camada crítica da arquitetura e, consequentemente, um novo vetor de ataque.

O OWASP Agentic Skills Top 10 organiza esses riscos de forma estruturada, trazendo uma visão clara sobre onde estão as principais fragilidades deste modelo.

Os principais riscos do OWASP Agentic Skills Top 10

Antes de entrar nos detalhes, é importante entender que a lista não trata apenas de vulnerabilidades técnicas isoladas. Ela aborda falhas de design, governança e operação — ou seja, problemas que vão além do código.

Skills maliciosas

Um dos riscos mais críticos está na possibilidade de criação e distribuição de skills maliciosas.

Assim como bibliotecas de código podem ser comprometidas, skills também podem ser projetadas para executar ações indevidas, exfiltrar dados ou manipular comportamentos do agente.

Esse tipo de risco reforça a necessidade de mecanismos de validação e controle sobre o que está sendo utilizado.

Comprometimento da cadeia de suprimentos

A cadeia de suprimentos continua sendo um dos vetores mais explorados — e agora se estende ao universo de IA.

Skills de terceiros, repositórios compartilhados e integrações externas podem introduzir vulnerabilidades no ambiente, muitas vezes sem visibilidade clara para a organização.

Esse é um ponto crítico, especialmente em ambientes que dependem de múltiplas integrações.

Permissões excessivas

Outro risco relevante está no excesso de permissões. Se uma skill possui mais acesso do que o necessário, qualquer falha ou exploração pode ter impacto ampliado. Esse problema não é novo na segurança, mas ganha uma nova dimensão em ambientes agentic.

O princípio de menor privilégio passa a ser ainda mais importante.

Metadados inseguros

Metadados mal definidos ou não validados podem ser utilizados para manipular o comportamento do agente.

Esse tipo de vulnerabilidade é particularmente perigoso porque nem sempre é visível em uma análise superficial. Ela pode estar escondida na forma como a skill é descrita ou configurada.

Desserialização insegura

Problemas clássicos de segurança continuam existindo, apenas adaptados ao novo contexto.

A desserialização insegura, por exemplo, pode permitir a execução de código malicioso, especialmente quando dados externos são processados sem validação adequada.

Isolamento fraco

Agentes que operam sem isolamento adequado podem impactar outros sistemas ou acessar recursos além do esperado.

Esse risco é amplificado em ambientes onde múltiplas skills interagem entre si.

Desatualização e inconsistência

A falta de controle sobre versões e atualizações pode gerar inconsistências e abrir brechas para exploração.

Sem mecanismos de verificação, uma atualização aparentemente legítima pode introduzir vulnerabilidades.

Falhas na detecção de riscos

Ferramentas tradicionais de segurança podem não ser suficientes para identificar riscos em skills baseadas em linguagem natural ou lógica contextual.

Isso cria um gap entre o que é analisado e o que realmente representa risco.

Falta de governança

A ausência de processos claros para gestão de skills — como inventário, controle de acesso e auditoria — dificulta a identificação de riscos e a resposta a incidentes.

Esse é um problema estrutural, que tende a crescer à medida que o uso de agentes se expande.

Reuso entre plataformas

Skills reutilizadas em diferentes ambientes podem carregar vulnerabilidades de um contexto para outro. Isso amplia o alcance de possíveis ataques e dificulta a contenção.

O que isso significa na prática?

O OWASP Agentic Skills Top 10 deixa claro que estamos entrando em uma nova fase da cibersegurança. Se antes o foco estava em proteger aplicações e infraestrutura, agora é necessário olhar também para:

• Como os agentes acessam recursos?
• Como as decisões são tomadas?
• Como as ações são executadas?

A segurança deixa de ser apenas proteção de sistemas e passa a incluir controle sobre comportamento automatizado.

Como as organizações devem se preparar

A adoção de agentes de IA tende a crescer rapidamente, impulsionada por ganhos de eficiência e automação. No entanto, essa evolução precisa ser acompanhada por uma abordagem estruturada de segurança. Na prática, isso envolve:

• Controle sobre quais skills são utilizadas;
• Validação de integridade e origem;
• Definição clara de permissões;
• Monitoramento contínuo de comportamento;
• Implementação de governança específica para IA.

Esses pontos são requisitos para evitar que a própria automação se torne um risco.

Segurança de IA não é sobre bloquear inovação

Um dos principais aprendizados desse novo cenário é que segurança e inovação precisam caminhar juntas.

Bloquear o uso de agentes ou limitar sua capacidade não é uma estratégia sustentável. O caminho está em entender os riscos e estruturar controles adequados.

O OWASP Agentic Skills Top 10 não é um alerta para frear a adoção de IA — é um guia para torná-la viável em ambientes corporativos.

Conclusão

A chegada dos agentes de IA marca uma mudança importante na forma como os sistemas interagem com o mundo. E, como toda mudança estrutural, ela traz novos desafios de segurança.

As skills, que antes eram apenas componentes funcionais, passam a ser elementos críticos da arquitetura — e, ao mesmo tempo, potenciais pontos de falha.