Apa yang terjadi
OWASP telah membangun halaman proyek baru, 'Agentic Skills Top 10,' yang mengatalogkan sepuluh risiko keamanan khusus untuk 'skills' agen AI (modul kemampuan yang dapat diinstal seperti paket Claude/ClawHub SKILL.md) — termasuk AST01 Malicious Skills, AST02 Supply Chain Compromise, AST03 Over-Privileged Skills, AST04 Insecure Metadata, AST05 Untrusted External Instructions, dan AST07 Update Drift. Konten halaman ditandai 'Last updated: June 2026,' dan vendor pihak ketiga (misalnya, Fortinet FortiCNAPP Code Security) sudah memetakan aturan deteksi ke taksonomi pada awal Juli 2026, menunjukkan publikasi baru/aktif.
Mengapa penting
'Skills' agen (paket kemampuan yang didefinisikan markdown dengan hambatan publikasi rendah dan tanpa code-signing/sandboxing secara default) adalah vektor rantai pasokan yang muncul dan sebagian besar tidak diatur untuk AI agentic; taksonomi OWASP yang didedikasikan memberikan tim keamanan dan vendor alat referensi bersama untuk pemindaian, peninjauan, dan klasifikasi insiden khusus untuk permukaan serangan ini, berbeda dari OWASP Top 10 yang lebih luas untuk Agentic Applications.
Tindakan yang diperlukan
Tim keamanan AI/agent yang membangun atau mengonsumsi 'skills' agen (misalnya, Claude Skills, paket ClawHub) harus memetakan kontrol peninjauan/pemindaian skill ke AST01–AST10, dan vendor yang menawarkan pemindaian rantai pasokan agen harus melacak taksonomi untuk klaim cakupan.