Security

Threat modeling za generativne i agentic AI aplikacije

3 min čitanja

Sažetak

Microsoft upozorava da generativne i agentic AI aplikacije zahtevaju drugačiji pristup threat modeling-u, jer njihova nedeterminisanost, sklonost praćenju instrukcija i povezivanje sa alatima i memorijom otvaraju nove bezbednosne rizike. To je važno jer klasični modeli zaštite nisu dovoljni za pretnje kao što su prompt injection, zloupotreba alata, eskalacija privilegija i tiho curenje podataka, pa timovi moraju ranije i sistematičnije da prilagode bezbednosne procese za AI sisteme.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod: zašto je ovo važno

Threat modeling pomaže timovima da rano identifikuju šta može poći naopako — pre nego što dođe do realnih kvarova ili napadačkih eksploatacija. Microsoft navodi da AI aplikacije (posebno generativni i agentic sistemi) narušavaju mnoge pretpostavke tradicionalnog, determinističkog softvera, pa bezbednosni timovi moraju da prilagode pristup threat modeling-u kako bi obuhvatili probabilističke izlaze, proširene attack surface-ove i štetu usmerenu na čoveka.

Šta je novo: kako AI menja threat landscape

Microsoft ističe tri karakteristike koje suštinski menjaju threat modeling za AI:

  • Nedeterminisanost: isti input može dati različite output-e kroz više izvršavanja, što zahteva analizu opsega verovatnog ponašanja — uključujući retke, ali visokouticajne ishode.
  • Pristrasnost ka praćenju instrukcija: modeli su optimizovani da budu korisni, što ih čini podložnijim prompt injection napadima, prisili i manipulaciji — naročito kada podaci i instrukcije dele isti input kanal.
  • Širenje sistema kroz alate i memoriju: agentic sistemi mogu pozivati API-je, zadržavati stanje i autonomno pokretati workflow-e. Kada nešto pođe naopako, kvarovi se mogu brzo kaskadno širiti kroz komponente.

Ove osobine preoblikuju poznate rizike u nove forme, uključujući:

  • Direktan i indirektan prompt injection (uključujući preko eksternog sadržaja koji model preuzima)
  • Zloupotrebu alata i eskalaciju privilegija kroz chaining
  • Tiho exfiltration podataka (output-i ili pozivi alata koji odaju osetljive informacije)
  • Samouvereno pogrešne output-e koji se tretiraju kao činjenice
  • Štete usmerene na čoveka kao što su erozija poverenja, preterano oslanjanje, učvršćivanje pristrasnosti i ubedljiva dezinformacija

Threat model od asset-a, ne od napada

Ključna preporuka je da se krene od eksplicitnog definisanja onoga što štitite — jer AI asset-i prevazilaze baze podataka i kredencijale. Uobičajeni AI-specifični asset-i uključuju:

  • Bezbednost korisnika (posebno kada AI smernice utiču na postupke)
  • Poverenje korisnika u output-e i ponašanje
  • Privatnost/bezbednost osetljivih poslovnih i korisničkih podataka
  • Integritet prompt-ova, instrukcija i kontekstualnih podataka
  • Integritet akcija agenta i nizvodnih efekata

Ovakvo „asset-first” uokviravanje takođe forsira rane policy odluke: Koje akcije sistem nikada ne sme da preduzme? Neki ishodi mogu biti neprihvatljivi bez obzira na korist.

Modelujte sistem koji ste zaista izgradili

Microsoft naglašava da AI threat modeling mora odražavati realan rad sistema, a ne idealizovane dijagrame. Obratite posebnu pažnju na:

  • Kako korisnici zaista interaguju sa sistemom
  • Kako se prompt-ovi, memorija i kontekst sastavljaju i transformišu
  • Koji se eksterni izvori ingest-uju i koje trust pretpostavke postoje
  • Koje alate/API-je sistem može da poziva (i pod kojim dozvolama)
  • Da li su akcije reaktivne ili autonomne, i gde se sprovodi odobrenje čoveka

U AI sistemima, pipeline za sastavljanje prompt-a postaje prvorazredna bezbednosna granica — retrieval konteksta, transformacija, perzistencija i ponovna upotreba su mesta gde se „tihe” trust pretpostavke akumuliraju.

Uticaj na IT administratore i vlasnike platformi

Za administratore koji implementiraju AI rešenja (custom aplikacije, Copilot-e ili agentic workflow-e), ove smernice potvrđuju da kontrole moraju da pokriju:

  • Ceo put data-to-prompt-to-action (ne samo hosting modela)
  • Dozvole i guardrail-e za tool access i nizvodne automatizacije
  • Operativni monitoring za neočekivane output-e, neobične pozive alata i obrasce exfiltration-a

Akcione stavke / sledeći koraci

  • Popišite AI asset-e: uključite poverenje, bezbednost i integritet instrukcija/konteksta.
  • Mapirajte prompt pipeline end-to-end: izvori, retrieval, transformacija, memorija i ponovna upotreba.
  • Ograničite dozvole alata i zahtevajte odobrenje čoveka za akcije sa velikim uticajem.
  • Testirajte injection i misuse: uključite indirektan prompt injection kroz preuzeti sadržaj.
  • Planirajte za slučajne greške: ublažite preterano oslanjanje uz UX signale, korake validacije i eskalacione puteve.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Scott Christiansen, Alyssa Ofstein and Neil Coles
AI securitythreat modelingprompt injectionagentic AIrisk management

Povezani članci

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.

Security

Microsoft Zero Trust za AI: radionica i arhitektura

Microsoft je predstavio smernice „Zero Trust for AI“ i proširio svoj Zero Trust Workshop namenskim AI stubom, kako bi organizacije lakše procenile i uvele bezbednosne kontrole za modele, agente, podatke i automatizovane odluke. Ovo je važno jer kompanijama daje strukturisan okvir za zaštitu od rizika kao što su prompt injection, data poisoning i preširoka ovlašćenja, uz bolju usklađenost bezbednosnih, IT i poslovnih timova.