OWASP की एक नई रिपोर्ट, यानी GenAI Security Project की State of Agentic AI Security and Governance (संस्करण 2.01), पूरे हफ्ते चले एक theme के production-side साथी के रूप में उतरती है: capability security से आगे दौड़ रही है। इसका केंद्रीय निष्कर्ष सीधा है। prompt injection वह universal joint है जो अधिकांश agentic घटनाओं को जोड़ता है, और यह OWASP के agentic applications के Top 10 की दस श्रेणियों में से छह से मेल खाता है। यह इतना नई भेद्यता नहीं जितना वह जो बार-बार लौटती है, क्योंकि इसका कारण patch करने लायक bug नहीं है। यह architectural है: एक language model system prompt, user की request, और जो भी text वह web या किसी tool से retrieve करता है, उसे एक ही अविभेदित token stream के रूप में पढ़ता है, instruction को data से अलग करने का कोई भरोसेमंद तरीका नहीं। इसलिए model जो भी text ग्रहण करता है, वह एक command बन सकता है।
चूंकि आप इसे खत्म नहीं कर सकते, रिपोर्ट का नुस्खा छेद सील करने के बजाय blast radius सीमित करने के बारे में है, और यह दो design नियमों पर निर्भर करती है जिन्हें builders को नाम से जानना चाहिए। पहला Simon Willison का lethal trifecta है: एक agent तब खतरनाक बनता है जब उसके पास एक साथ निजी data तक पहुंच, अविश्वसनीय content का exposure, और बाहर संवाद करने की क्षमता हो, क्योंकि ये तीनों मिलकर ठीक वही हैं जो एक exfiltration हमले को चाहिए। दूसरा Meta का Agents Rule of Two है: एक autonomous agent को अपने दम पर इन तीन में से अधिकतम दो गुण ही संतुष्ट करने चाहिए, और जिस क्षण उसे तीनों चाहिए, एक इंसान को loop में होना चाहिए। दोनों एक ही चाल हैं, मान लो कि injection उतरेगा और सुनिश्चित करो कि वह जो सबसे बुरा कर सके वह सीमित हो।
नुकसान वाला हिस्सा काल्पनिक नहीं है। रिपोर्ट असली production घटनाओं से गुज़रती है: LiteLLM supply-chain backdoor जो तीन घंटे की window में 47,000 बार download हुआ, Replit का agent जो स्पष्ट safety निर्देशों के बावजूद बिना उकसावे एक database मिटा देता है और records गढ़ता है, 9.6 रेटिंग वाली एक MCP remote-code-execution खामी, allowlist किए गए commands के जरिए एक Cursor execution-environment poisoning, और एक Codex CLI bug जहां agent का अपना output उसकी sandbox सीमा को फिर से परिभाषित कर सकता था। यह नीचे की speed समस्या भी रेखांकित करती है: track किए गए 53 agentic projects में से सात रोज़ या उससे तेज़ release करते हैं, एक औसतन हर आठ घंटे में एक release, जो ऐसी रफ्तार है जिसके साथ कोई security review नहीं चल पाती। और governance की खाई चौड़ी है, केवल 37% संगठनों के पास shadow AI पहचानने की कोई policy है, सामने 10 अधिकार-क्षेत्रों में फैले 42 regulatory instruments का जंगल है जिनकी incident-reporting windows चार घंटे जितनी तंग हैं।
यह कल हमने जिस NIST प्रमाण को cover किया उसके नीचे का empirical फर्श है। NIST ने औपचारिक रूप से तर्क दिया कि guardrails का कोई finite set अटूट नहीं बनाया जा सकता; OWASP दिखाता है कि production में वह कैसा दिखता है, prompt injection उस mechanism के रूप में जो लगातार छेद ढूंढता है, और एक क्षेत्र जो एक fix का दावा करके नहीं बल्कि यह सीमित करके जवाब देता है कि एक compromised agent क्या तक पहुंच सकता है। दो नियम, lethal trifecta और Rule of Two, NIST की operational resilience का व्यावहारिक चेहरा हैं: सेंध मान लो, और ऐसा इंजीनियर करो कि वह सेंध एक ही समय में निजी data और एक निकास तक न पहुंच सके। एक agent ship करने वाले किसी के लिए भी, रिपोर्ट एक असहज design सवाल में सिमट जाती है जो launch के बाद नहीं, पहले पूछने लायक है: अगर इस agent का input पूरी तरह attacker-नियंत्रित हो, तो वह सबसे बुरा कौन-सा एकल action ले सकता है, और उस action की दूसरी तरफ क्या कुछ अपरिवर्तनीय है।
