Každý nástroj, ke kterému má agent přístup, představuje vstupní bod. Pokud agent může číst sdílený storage, dotazovat databázi a posílat e-maily, útočník, který získá kontrolu nad jeho rozhodovací logikou (například prompt injection skrze data, která agent zpracovává), může tyto schopnosti zneužít. CISA varuje, že útočný povrch agenta odpovídá unionu povolených operací všech jeho nástrojů – ne průniku.

Agenti často potřebují širokou paletu oprávnění, aby splnili různorodé úkoly. Tým, který agenta nasazuje, je přirozeně motivován raději přidat oprávnění než zjišťovat, které konkrétně chybí. CISA proto doporučuje začínat u use case s nízkým rizikem a citlivostí a teprve postupně oprávnění rozšiřovat – obráceně oproti praxi „dát všechno a postupně omezovat".

Agent může v některých situacích vyhodnotit cíl jinak, než zadávající očekával – například „zajistit dodání reportu do 9:00" si vyloží jako důvod ke zkopírování dat na nezabezpečený endpoint, protože interní pipeline je pomalá. Riziko nesouladu cílů je u plně autonomních agentů zvlášť obtížně predikovatelné a podle CISA vyžaduje kontinuální audit.

Klasické SIEM nástroje očekávají strukturované logy s jasnou kauzalitou (uživatel X spustil příkaz Y v čase T). U agenta je posloupnost: zadání → interní úvaha → volba nástroje → vykonání akce. Pokud chybí logování všech vrstev, je obtížné rekonstruovat, proč agent provedl konkrétní operaci. CISA proto doporučuje vést audit trail nejen vykonaných příkazů, ale i rozhodovacích kroků modelu.

Průvodce shrnuje tři hlavní postupy. Za prvé, neudělovat agentům široký nebo neomezený přístup, zejména k citlivým datům a kritickým systémům – přístupová politika by měla být co nejvíce zúžená a explicitně schvalovaná. Za druhé, začínat zaváděním agentní AI u use case s nízkým rizikem a malou citlivostí, kde je možné agentovo chování bez velkých následků sledovat a vylepšovat. Za třetí, zahrnout agentní AI do bezpečnostního modelu organizace a do hodnocení rizik – nepovažovat ji za další běžnou aplikaci.

Pro evropské subjekty je dokument použitelný i přesto, že vychází z amerického rámce. Doporučení se neopírají o federální legislativu, ale o obecné postupy bezpečné architektury (least privilege, defense in depth, zero trust). Provázanost s evropským AI Actem CISA neřeší – tam je relevantním zdrojem návrh prováděcích předpisů, který nyní finalizuje EDPB ve spolupráci s národními regulátory.

Vydavatelem dokumentu jsou CISA, NSA, FBI a obdobné agentury z Austrálie, Nového Zélandu, Velké Británie, Kanady, Německa, Nizozemska a Norska. Jde o jeden z prvních pokusů o sjednocenou definici toho, jak má bezpečné nasazení agentní AI vypadat – očekává se, že další upřesnění přijdou s rostoucími zkušenostmi z reálných incidentů.

CISA