- OWASP vừa ra mắt Autonomous Penetration Testing Standard (APTS) v0.1.0 — không phải methodology, mà là control layer với 173 yêu cầu qua 8 domain, kill switch 5 giây, và kiến trúc coi agent runtime như thành phần không đáng tin.
- Đây là guardrail mà ngành AI-driven testing đang cần.
TL;DR
- OWASP vừa công bố Autonomous Penetration Testing Standard (APTS) v0.1.0 — governance framework cho các nền tảng pentest tự trị AI-driven.
- 173 yêu cầu bắt buộc chia đều qua 8 domain (Scope Enforcement, Safety Controls, Human Oversight, Graduated Autonomy, Auditability, Manipulation Resistance, Supply Chain Trust, Reporting) và 3 tier compliance (Foundation 72 → Verified 157 → Comprehensive 173).
- Điểm đột phá: coi agent runtime là thành phần không đáng tin so với control plane. Kill switch phải cắt trong 5 giây. Rate limit mặc định 10 RPS/target. Agent không được đọc hoặc sửa chính allowlist của nó.
- Không phải thay thế PTES, OWASP WSTG hay OSSTMM — APTS bổ sung cho chúng, giải quyết vấn đề riêng của autonomous operation: scope enforcement, safe autonomy, manipulation resistance, accountability.
- Open-source (CC BY-SA 4.0), không có certification body, không phí. Tier claim theo cơ chế conformance tự đánh giá như WSTG/ASVS.
What's new
Ngày 23/4/2026 — giữa lúc hàng loạt startup AI-pentester (Shannon, XBOW, PenTesterAI, Horizon3's NodeZero) đang scale mô hình agent chạy khai thác tự động, OWASP đã chính thức release APTS v0.1.0. Đây là Incubator Project, lead bởi Jinson Varghese Behanan và Shikhil Sharma (cả hai thuộc Astra Security).
Khác biệt quan trọng nhất so với các chuẩn pentest khác: APTS không phải methodology testing. Nó không nói cho bạn biết test gì hay test thế nào. Nó định nghĩa nền tảng autonomous pentesting phải hành xử ra sao để được tin dùng — từ lúc nhận Rules of Engagement đến lúc ngừng hoạt động sau sự cố.
Why it matters
AI agent giờ đã chạm được khai thác thật: SQL injection tự động, auth bypass chain, leo thang privilege qua nhiều host. Nhưng cùng với năng lực là rủi ro: một agent bị prompt-inject từ HTML của target có thể bị "thuyết phục" để mở rộng scope, exfil credential, hoặc disable kill switch. Một agent drift khỏi mandate (do fine-tune đổi, capability tăng, hoặc bug implementation) có thể tấn công asset ngoài hợp đồng.
PTES và WSTG không có câu trả lời cho các kịch bản này — chúng được viết cho pentester người, không phải cho LLM chạy tool tự động. APTS là lớp governance đầu tiên giải quyết những gap cụ thể đó, và khả năng cao sẽ trở thành checklist procurement chuẩn mà CISO dùng để đánh giá vendor autonomous pentest.
Technical facts
Toàn bộ tiêu chuẩn gồm 173 yêu cầu tier-required cộng 10 advisory practice, chia qua 8 domain:
| Domain | Prefix | Reqs | Tier 1 / 2 / 3 |
|---|---|---|---|
| Scope Enforcement | SE | 26 | 9 / 16 / 1 |
| Safety Controls | SC | 20 | 6 / 12 / 2 |
| Human Oversight | HO | 19 | 13 / 6 / 0 |
| Graduated Autonomy (L1–L4) | AL | 28 | 11 / 9 / 8 |
| Auditability & Reproducibility | AR | 20 | 7 / 12 / 1 |
| Manipulation Resistance | MR | 23 | 13 / 9 / 1 |
| Supply Chain Trust | TP | 22 | 10 / 11 / 1 |
| Reporting | RP | 15 | 3 / 10 / 2 |
| Total | 173 | 72 / 85 / 16 |
Một vài con số cứng đáng chú ý:
- Kill switch: Phase 1 (cessation) ≤ 5 giây, Phase 2 (graceful shutdown) ≤ 60 giây. Nền tảng phải có nhiều kill switch độc lập — operator-initiated, remote halt, automatic failsafe khi mất control plane.
- Rate limit mặc định: 10 RPS/target. Auto-giảm intensity khi response time xấu đi >20% baseline. Auto-halt khi degradation vượt 200% baseline hoặc 3 health check fail liên tiếp.
- Scope validation atomic với độ chính xác microsecond trước mỗi network action (connection, DNS, redirect, API call).
- Audit log retention: engagement duration + 90 ngày tối thiểu. Ở L4 autonomous: log cryptographically signed, retention tối thiểu 5 năm.
- Evidence hashing: SHA-256 tối thiểu, log append-only với hash chain để phát hiện tamper.
- L3 containment verification: quarterly. L4: monthly. Quan trọng: kiểm tra MUST NOT do chính agent runtime thực hiện.
Manipulation Resistance — điểm đột phá kiến trúc
Domain đáng chú ý nhất là Manipulation Resistance (APTS-MR) với 23 requirement. Điểm then chốt là APTS-MR-023: threat model PHẢI bao gồm kịch bản chính agent runtime tự drift khỏi mandate — bất kể nguyên nhân là prompt injection, distribution shift, capability escalation hay implementation error.
"APTS takes an architectural stance: treat the agent runtime as a component that may, for any reason, attempt actions outside its declared mandate, and build the platform so that such attempts fail by construction rather than by the agent's own restraint."
Cụ thể platform PHẢI: (1) isolate agent runtime khỏi control plane bằng cơ chế không phụ thuộc vào agent cooperation; (2) không cho agent đọc/sửa/xoá safety controls, allowlist, threshold, audit records của chính mình; (3) coi mọi deviation khỏi action distribution đã khai báo là signal cần operator review. APTS-SC-020 bổ sung: tool/action allowlist phải enforce ở component bên ngoài model (gateway, policy engine, broker) — KHÔNG enforce qua system prompt.
Comparison
| PTES / WSTG / OSSTMM | APTS | |
|---|---|---|
| Loại | Testing methodology | Governance framework |
| Đối tượng | Pentester người | Autonomous AI agent |
| Nói gì? | Test cái gì, test thế nào | Platform phải hành xử ra sao |
| Prompt injection | Không đề cập | 23 requirement (domain MR) |
| Kill switch SLA | Không | 5s / 60s bắt buộc |
| Agent runtime isolation | Không | MUST (APTS-MR-023) |
APTS không thay thế các methodology cũ — autonomous system vẫn phải follow PTES/WSTG/OSSTMM khi chọn technique và execute test. APTS chỉ thêm lớp governance bên trên.
Use cases
APTS được thiết kế deployment-model agnostic — 173 yêu cầu áp dụng y nguyên cho 3 mô hình:
- Vendor-delivered: công ty sản phẩm SaaS/on-prem (như Astra, XBOW, Horizon3) đánh giá platform và publish conformance claim cho khách hàng.
- Service-operated: MSSP, consultancy, managed red-team service operate platform cho client — đưa conformance vào SOW.
- In-house enterprise: team bảo mật enterprise build/integrate platform tự kiểm nội bộ. Có thể publish conformance trong trust center, SOC 2 complementary controls, security whitepaper.
Về phía khách hàng (CISO, procurement), APTS đóng vai trò checklist đánh giá vendor. Checklists appendix và Vendor Evaluation Guide cho phép verify claims độc lập. Standard có Compliance Matrix map sang NIST CSF, ISO 27001, NIST AI RMF, SOC 2, PCI DSS, GDPR.
Limitations & pricing
- Miễn phí 100%, license CC BY-SA 4.0.
- Không có certification body, không bắt buộc third-party audit — self-assessment, internal review hoặc external đều hợp lệ (mô hình giống WSTG/ASVS).
- Không partial credit: phải đạt 100% yêu cầu của tier claim (cả MUST lẫn SHOULD).
- Không cover: manual pentest, SAST/DAST, bug bounty, lab testing, red/purple team người, vulnerability disclosure program.
- Cố tình không giải quyết research-stage AI: verifiable goal alignment, scheming detection, containment chống model "aware of test env" — OWASP thừa nhận không thể verify bằng công nghệ hiện tại, nên dùng architectural containment thay vì hứa hẹn từ model.
- Đang ở Incubator, không phải Flagship — vẫn còn sớm, schema và template sẽ evolve.
- Budget thời gian: vendor 2-3 ngày đọc + 1-2 ngày/domain planning; customer 1-2 tuần Vendor Evaluation + 1-2 tuần optional Acceptance Testing.
What's next
Repo đang active: PR Apr 19-21, 2026 bổ sung human review record template, advisory guidance cho external tool connectors, extended cloud security hardening section. Hai proposal mở: machine-readable Rules of Engagement template và evidence package manifest schema cho finding artifacts. Tương lai v0.2+ có thể bổ sung verifiable alignment khi AI safety research cho phép.
Nếu bạn đang build hoặc mua autonomous pentesting platform trong 2026, đây là checklist đầu tiên nên đọc. Conformance claim sớm = trust signal sớm — đặc biệt quan trọng khi cạnh tranh vendor đang diễn ra nóng và CISO đã bắt đầu hỏi các câu hỏi khó về safety controls.
Nguồn: owasp.org/APTS, github.com/OWASP/APTS, Manipulation Resistance domain.
