OWASP gjør agentminne til ny sikkerhetsflate

AI-agenter får nå en ny sikkerhetsflate: hukommelsen deres. OWASP-prosjektet Agent Memory Guard er laget for å beskytte persistent agentminne mot det organisasjonen kaller memory poisoning. Poenget er enkelt, men ubehagelig. Når en agent får lagre mål, brukerhistorikk, tilgangskontekst, samtaler og mellomresultater, blir minnet mer enn en praktisk funksjon. Det blir styrende input for fremtidige handlinger.

Det er en annen risikoprofil enn klassisk prompt injection. En engangsprompt kan skade én økt. Forgiftet agentminne kan følge agenten videre. Den kan påvirke senere beslutninger, trigge feil verktøybruk, lekke data eller endre prioriteringer uten at brukeren ser hvor påvirkningen kom fra. For virksomheter som tester agenter mot kundedata, interne dokumenter, CRM, sakssystemer, kodebaser eller ERP, er dette ikke et laboratorieproblem. Det treffer arkitektur, logging, tilgangsstyring og leverandørkrav.

OWASP beskriver Agent Memory Guard som en runtime-forsvarsmekanisme mellom agenten og minnelaget. Den skal kontrollere lesing og skriving mot minnet, bruke kryptografiske baselines, fange mistenkelige endringer og håndheve policy før minne blir gjenbrukt av agenten. Prosjektet adresserer ASI06: Memory Poisoning i OWASP Top 10 for Agentic Applications. Det gjør saken viktig fordi agentminne hittil ofte har blitt behandlet som produktdesign, ikke som en privilegert sikkerhetskomponent.

Help Net Security omtaler prosjektet som en praktisk referanseimplementering. Ifølge gjennomgangen bruker Agent Memory Guard blant annet SHA-256-baselines for å oppdage uautoriserte endringer i beskyttede nøkler, deteksjon av prompt injection, lekkasje av hemmeligheter og persondata, raske endringer og avvik i størrelse. En YAML-policy kan styre om en hendelse skal tillates, redigeres, settes i karantene eller blokkeres. Systemet kan også lagre snapshots slik at minne kan rulles tilbake til en kjent god tilstand.

Integrasjonene er foreløpig mest interessante for tekniske team. Prosjektet viser en drop-in chat history-klasse for LangChain og middleware som kan skjerme modellinput, modelloutput og tool output. På veikartet ligger blant annet bredere støtte for agentrammeverk og datalagre. Det er tidlig, men retningen er tydelig: kontrollpunktet flyttes nærmere agentens faktiske arbeidsminne, ikke bare rundt modellen eller API-et.

Benchmarken i Help Net Securitys gjennomgang er liten, men konkret. Den omtaler 55 testtilfeller fordelt på 40 angrepspayloads og 15 ufarlige eksempler. Resultatet var 92,5 prosent recall, 100 prosent precision, ingen falske positive og median forsinkelse på 59 mikrosekunder. Prompt injection og endring av beskyttede nøkler scoret 100 prosent. Sensitive data-lekkasje og størrelsesanomalier var svakere, med henholdsvis 83 og 80 prosent. Det er nyttig nøkternhet. Slike kontroller bør ikke selges inn som magisk skjold. De bør inn i en lagdelt modell med logging, tilgangskontroll, testdata og hendelseshåndtering.

For norske CIO-er og CISO-er er læringen mer praktisk enn akademisk. Før en virksomhet setter agenter i produksjon, bør den vite hvor agentminne faktisk ligger. Er det i en vektordatabase, en chat history-tabell, en RAG-indeks, en lokal fil, en SaaS-leverandør eller en kombinasjon? Hvem kan skrive til minnet? Hvem kan slette det? Hvordan spores endringer? Kan minne rulles tilbake? Og kan sikkerhetsteamet skille mellom legitim læring og manipulert kontekst?

Dette bør også inn i anskaffelser. Leverandører som selger agenter med “memory” bør måtte forklare hvordan minnet beskyttes, segmenteres og logges. De bør kunne dokumentere policy rundt sletting, retention, PII, prompt injection, verktøybruk og rollback. Det holder ikke å si at modellen er sikker hvis minnelaget kan påvirke modellen i neste økt.

For styret er hovedpoenget like tørt som det er viktig: agentminne er styringsdata. Det kan inneholde forretningshemmeligheter, persondata, sikkerhetskontekst og beslutningshistorikk. Da må det behandles som et kontrollpunkt i risikoregisteret, ikke som en UX-detalj.

Den raske veien videre er å lage en enkel oversikt over alle interne agentpiloter med persistent minne, RAG eller langsiktig kontekst. Marker hvilke som har tilgang til data eller verktøy med konsekvens. Deretter bør virksomheten kreve tre ting før produksjon: integritetskontroll på minne, hendelseslogging på minneoperasjoner og mulighet for karantene eller rollback. Det er ikke tung compliance. Det er minimum hygiene når AI-agenter begynner å huske.

Kilder og medier

• Help Net Security: https://www.helpnetsecurity.com/2026/06/01/owasp-agent-memory-guard/
• OWASP Agent Memory Guard: https://owasp.org/www-project-agent-memory-guard/
• GitHub release v0.2.2: https://github.com/OWASP/www-project-agent-memory-guard/releases/tag/v0.2.2
• Thumbnail: OpenAI Image 2 / hogby.ai