Master's Thesis

Implementation of security measures in the AI agentic framework

Author of thesis: Ing. Magdaléna Bellayová

Acad. year: 2025/2026

Supervisor: doc. Mgr. Kamil Malinka, Ph.D.

Reviewer: Ing. Radek Hranický, Ph.D.

Abstract:

This thesis addresses the security of distributed agentic AI systems, focusing on the NXP eIQ AI Agentic Framework deployed on edge hardware. The problem lies in weak trust boundaries, lack of identity propagation, and insufficient control over delegated execution in multi-component agentic architectures. To analyze these risks, the OWASP MAESTRO methodology and ASI threat taxonomy are applied to construct a structured threat model of the framework. Based on the identified threats, selected security measures are implemented, including mutual TLS for service-to-service authentication, user authentication at the Gateway, identity propagation, and policy-based authorization. The evaluation using representative attack scenarios shows that these controls significantly improve communication trust and reduce unauthorized access and impersonation risks. The results demonstrate that identity-based trust and protected communication form a necessary foundation for securing agentic systems, while risks related to delegated execution and model-driven behavior remain partially unresolved.

Keywords:

agentic AI, multi-agent systems, AI security, threat modeling, OWASP MAESTRO, edge AI, mutual TLS, authorization, distributed systems, NXP eIQ AAF

Date of defence

22.06.2026

Date of publish

21.06.2028

Result of the defence

Defended (thesis was successfully defended)

znamkaAznamka

Grading

A

Process of defence

Studentka nejprve prezentovala výsledky, kterých dosáhla v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Studentka následně odpověděla na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studentky na položené otázky rozhodla práci hodnotit stupněm A.

Topics for thesis defence

  1. MAESTRO je pro agentní systémy vhodná, avšak poměrně nová metodika. Jak by se podle vás změnil výsledek modelování hrozeb, kdybyste použila tradičnější STRIDE nebo PASTA?
  2. Která identifikovaná hrozba podle vás představovala pro NXP eIQ AI Agentic Framework nejvyšší praktické riziko a proč?
  3. V práci se soustředíte hlavně na komunikaci, identitu a autorizaci. Jaký by podle vás měl být další vhodný krok k zabezpečení akcí spouštěných samotnými agenty?

Language of thesis

English

Faculty

Department

Study programme

Information Technology and Artificial Intelligence (MITAI)

Specialization

Cybersecurity (NSEC)

Composition of Committee

doc. Mgr. Kamil Malinka, Ph.D. (předseda)
doc. Ing. Ondřej Ryšavý, Ph.D. (místopředseda)
Ing. Zbyněk Křivka, Ph.D. (člen)
doc. Ing. Ivan Homoliak, Ph.D. (člen)
Ing. Libor Polčák, Ph.D. (člen)
Ing. Radek Hranický, Ph.D. (člen)

Supervisor’s report
doc. Mgr. Kamil Malinka, Ph.D.

Práci hodnotím jako excelentní. Studentka splnila zadání v plném rozsahu. Analytická část je výrazně robustnější než se půodně očekávalo. Vytvořila také prakticky využitelné bezpečnostní rozšíření agentického AI frameworku. Za zvláště přínosné považuji systematickou analýzu hrozeb, implementaci více bezpečnostních opatření a jejich ověření na realistických scénářích útoků. Výsledek má vysokou technickou úroveň a představuje dobrý základ pro další rozvoj bezpečnosti daného systému.


DP byla vypsána ve spolupráci s f. NXP, od jejich zástupců mám k dispozici obdobně kladné hodnocení. Výsledky jsou v procesu nasazení do produkce.


Celkově práci hodnotím stupněm A.

Evaluation criteria Verbal classification
Informace k zadání

Zadání diplomové práce považuji za nadprůměrně náročné, neboť vyžadovalo kombinaci znalostí z oblasti agentických AI systémů, bezpečnosti distribuovaných architektur, autentizace, autorizace a praktické integrace do existujícího frameworku. Studentka se s problematikou velmi dobře seznámila, provedla kvalitní analýzu bezpečnostních rizik, kde aplikovala velmi aktuální metodiky a na jejím základě navrhla a implementovala vhodná bezpečnostní opatření. Zadání bylo splněno ve všech bodech a s dosaženými výsledky jsem velmi spokojen.

Aktivita při dokončování

Studentka obsah práce konzultovala průběžně a její definitivní obsah mi byl zaslán k připomínkování v dostatečném předstihu. Stihnuli jsme několik iterací. Všechny mé připomínky k práci byly zapracovány. Studentka věnovala pozornost nejen implementaci, ale také ověření funkčnosti a účinnosti navržených opatření na modelových scénářích útoků.

Publikační činnost, ocenění

Výsledky studentky jsou již do jisté míry zapracovány v rámci produktů f. NXP. 

Práce s literaturou

Studentka aktivně vyhledával relevantní dostupnou literaturu a vhodně ji začlenil do své práce. Studentka zvládl vstřebat i množství aktuálních odborných článků. Kladně hodnotím zejména využití metodik a taxonomií OWASP MAESTRO a OWASP ASI, které poskytly vhodný základ pro systematickou analýzu hrozeb.

Aktivita během řešení, konzultace, komunikace

K aktivitě studentky nemám jedinou výtku. Kromě toho, že sama přišla s tímto tématem práce, se pravidelně účastnila konzultací k DP, na které chodila připravená. Sáma přicházela s nápady, jak práci dále posunout, a výborně je komunikovala. Výsledky byly tvořeny průběžně. Studenta měla důkladný systematický přístup. Oceňuji schopnost orientovat se v komplexním systému a navrhnout bezpečnostní rozšíření tak, aby bylo dobře integrovatelné a dále rozšiřitelné.

Points proposed by supervisor: 95

Grade proposed by supervisor: A

Reviewer’s report
Ing. Radek Hranický, Ph.D.

Celkově práci hodnotím jako prakticky přínosnou a velmi kvalitně zpracovanou. Studentka systematicky analyzuje bezpečnostní rizika konkrétního agentního systému a navrhuje opatření, která posilují důvěryhodnost komunikace, ověřování identity a řízení přístupu. Oceňuji kvalitní práci s literaturou, vazbu návrhu na identifikované hrozby a otevřenou diskusi zbytkových rizik.


Dílčím omezením řešením je skutečnost, že implementace se soustředí hlavně na komunikační a přístupovou vrstvu, zatímco hlubší kontrola akcí vyvolaných samotnými agenty zůstává především námětem pro další práci. V kontextu zadání je to však zcela v pořádku. Práce má pouze drobné formální nedostatky, které nijak nesnižují její odbornou úroveň.

Evaluation criteria Verbal classification Points
Rozsah splnění požadavků zadání

Evaluation level: zadání splněno

Zadání bylo splněno v celém rozsahu.

Rozsah technické zprávy

Evaluation level: přesahuje obvyklé rozmezí

Technická zpráva je velmi rozsáhlá. Dle https://app.fit.vut.cz/theses-checker/ čítá celkem 119.11 normostran, což je blízko maximu, avšak stále v normě. Prakticky všechny pasáže jsou věcně přínosné a v kontextu zadání smysluplné.

Prezentační úroveň technické zprávy

Práce má jasnou logickou strukturu a kapitoly na sebe přirozeně navazují. Oceňuji zejména perfektně zpracovanou kapitolu o modelování hrozeb, kde studentka dobře pracuje s hranicemi důvěry a demonstruje, že problém nespočívá jen v jednotlivých izolovaných službách. Pozitivně hodnotím také skutečnost, že identifikované hrozby nejsou samoúčelným výčtem, ale přímo vedou k návrhu konkrétních opatření a jejich následné implementaci.

Implementovaná bezpečnostní opatření cílí především na komunikační a přístupovou vrstvu, což je vzhledem k zadání i rozsahu práce rozumná volba. Studentka v práci zároveň správně identifikuje i hlubší rizika související s chováním modelu, voláním nástrojů a akcemi spouštěnými agenty. Je trochu škoda, že jejich praktické řešení zůstává mimo hlavní implementaci, protože právě tato oblast je dnes velmi aktuálním tématem.

Část o vyhodnocení je zpracována velmi kvalitně. Pozitivně hodnotím i rozsáhlé přílohy s přehledem identifikovaných hrozeb a navržených protiopatření. Studentka rovněž férově pojmenovává limity práce, ačkoliv jejich popis je poněkud rozptýlen na více místech. Celkově však práci považuji za velmi dobře zpracovanou, po odborné stránce přesvědčivou a obsahově vyváženou.

95
Formální úprava technické zprávy

Formální úprava práce je na velmi dobré úrovni. Technická zpráva působí profesionálním dojmem a doplňuje ji velké množství názorných schémat, diagramů a tabulek, které jsou dobře popsány a zvyšují pochopitelnost celého řešení. Grafická úprava působí konzistentně. Práci musím vytknout nadužívání tučného písma, které je vhodné ponechat strukturálním prvkům, zatímco klíčové pojmy je zvykem zvýrazňovat kurzívou. V textu se také vyskytuje velké množství zkratek, uvítal bych proto seznam zkratek.

Text je psán srozumitelnou odbornou angličtinou a poměrně dobře se čte. Mírně rušivě působí míchání britské a americké angličtiny, např. "behaviour" vs. "analyzed". Občas se objevují zbytečně těžkopádné věty jako "A particularly relevant instance of this problem is represented by...". Jiné formulace naopak působí poněkud mechanicky až šablonovitě:  "The first characteristic is... The second characteristic is... The third characteristic is..." nebo "This chapter described... It described...".

87
Práce s literaturou

Bibliografie zahrnuje úctyhodných 72 pramenů, přičemž všechny považuji za relevantní tématu. Studentka pracuje s velmi aktuálními zdroji k agentním AI systémům, modelování hrozeb a bezpečnostním modelům. Oceňuji, že práce nestojí pouze na obecných článcích o umělé inteligenci, ale využívá též vhodné metodické a technické zdroje, které jsou přímo použitelné pro bezpečnostní analýzu. Převzaté poznatky jsou v textu korektně citovány a prohřešky vůči citační etice jsem neobjevil. Část použitých zdrojů tvoří velmi nové, dosud nerecenzované texty a webové materiály, což je ale vzhledem k aktuálnosti tématu pochopitelné.

99
Realizační výstup

Realizačním výstupem je bezpečnostní modul pro eIQ AI Agentic Framework, který implementuje podporu pro autentizovanou a šifrovanou  komunikaci mezi službami pomocí mTLS, validaci uživatelů pomocí JWT, propagaci identit napříč komponentami a autorizaci na základě předem definovaných bezpečnostních politik.

Jedná se o velmi rozsáhlé a po programátorské stránce kvalitně zpracované dílo, které zahrnuje desítky tisíc řádků v jazyce Python. Součástí jsou i obsáhlé automatizované testy. K řešení je přiložena velmi podrobná dokumentace a detailní návod k použití.

100
Využitelnost výsledků

Výsledky jsou přímo využitelné pro zabezpečení systému NXP eIQ AI Agentic Framework. Díky novým bezpečnostním opatřením je systém odolnější vůči neoprávněnému přístupu, impersonifikaci služeb a zneužití interních rozhraní.

Náročnost zadání

Evaluation level: obtížnější zadání

Zadání považuji za náročnější, neboť studentka musela provést bezpečnostní analýzu komplexního systému.

Topics for thesis defence:
  1. Která identifikovaná hrozba podle vás představovala pro NXP eIQ AI Agentic Framework nejvyšší praktické riziko a proč?
  2. MAESTRO je pro agentní systémy vhodná, avšak poměrně nová metodika. Jak by se podle vás změnil výsledek modelování hrozeb, kdybyste použila tradičnější STRIDE nebo PASTA?
  3. V práci se soustředíte hlavně na komunikaci, identitu a autorizaci. Jaký by podle vás měl být další vhodný krok k zabezpečení akcí spouštěných samotnými agenty?
Points proposed by reviewer: 95

Grade proposed by reviewer: A

Reasons for publication postponement

Publication of the final thesis has been postponed in compliance with the provisions of Section 47b (4) of Act No. 111/1998 Coll., on the Higher Education Institutions and on amendments and supplements to other acts, as amended.

Responsibility: Mgr. et Mgr. Hana Odstrčilová