Coding-Agents werden häufig lokal auf der Workstation eines Nutzers bereitgestellt und nutzen die von diesem delegierte Berechtigung, um auf Daten zuzugreifen. Im Allgemeinen werden Coding-Agents mit allen Berechtigungen des Nutzers ausgeführt. Im Gegensatz zu Menschen sind sie jedoch anfällig für Prompt Injection, die ihre Aktionen bestimmt. Dies kann Risiken für Ihre Infrastruktur und Daten bergen, die Sie berücksichtigen sollten.
Agents können Daten fälschlicherweise als Anweisungen interpretieren. Dies wird manchmal als indirekte Prompt Injection bezeichnet. Ein böswilliger Akteur kann beispielsweise schädliche Prompts erstellen, sie direkt (z.B. in einer E‑Mail oder einem Kalender) oder indirekt (z.B. durch Einbeziehung in Cloud Storage oder BigQuery) an ein Opfer weitergeben und warten, bis der Agent auf diese schädlichen Prompts reagiert.
Um das Risiko zu verringern, empfehlen wir Ihnen, die folgenden zusätzlichen Schutzmaßnahmen zu berücksichtigen.
Führen Sie die Agents nach Möglichkeit in einer eingeschränkten Umgebung aus. Ein typisches Beispiel ist, dass Nutzer Agents nur auf Cloud Workstations aufrufen, den Internetzugriff deaktivieren und keine Root-Berechtigungen haben. Wir empfehlen außerdem, VPC Service Controls -Schutzmaßnahmen auf Cloud Workstations zu konfigurieren.
Header für Organisationseinschränkungen: Alternativ können Organisationen mit Proxys für die Netzwerksicherheit an der Grenze ihres Unternehmensnetzwerks den Header für Organisationseinschränkungen aktivieren. Bei der Bereitstellung wird die Menge der Ressourcen, auf die über das Unternehmensnetzwerk zugegriffen werden kann, auf eine bestimmte Menge von Google Cloud Organisationen (z. B. die Hauptorganisation des Unternehmens) beschränkt. Dadurch wird verhindert, dass Agents (und Menschen) auf Ressourcen außerhalb des Unternehmens-Tenants zugreifen Google Cloud. Wenn Ihre Organisation bereits einen Egress-Proxy verwendet, wird diese Funktion möglicherweise sofort unterstützt.
Principal Access Boundaries (PAB): Mit PABs können Sie die Menge der Ressourcen einschränken, auf die eine bestimmte Menge von Identitäten zugreifen kann. Bei Coding-Agents können die Agents entweder mit ihrer eigenen Identität (z. B. einem Dienstkonto oder der neu verfügbaren Agent Identität, die von der Agent-Laufzeit unterstützt wird) oder mit der delegierten Berechtigung des Nutzers ausgeführt werden. In beiden Fällen können PABs aktiviert werden, um den Zugriff auf die Ressourcen der Organisation zu beschränken. Wenn Sie die Beschränkung jedoch auf die menschliche Identität anwenden, wird auch der Zugriff des Menschen eingeschränkt.
VPC Service Controls: Organisationen, die ihr Unternehmensnetzwerk in einen VPC Service Controls-Perimeter einbeziehen, sind bereits vor diesen Risiken geschützt, wenn sie direkt von außerhalb des VPC-Perimeters stammen. Organisationen, die sich Sorgen um die Daten-Exfiltration machen, auch über Google CloudAgents, sollten prüfen, ob VPC Service Controls in ihrer Umgebung sinnvoll ist.
Model Armor: Aktivieren Sie Model Armor, um potenzielle Prompt Injection-Angriffe auf Daten zu erkennen und zu blockieren, auf die über die von Google verwalteten MCP-Server zugegriffen wird.