Gli agenti di codifica vengono spesso sottoposti a deployment localmente sulla workstation di un utente, sfruttando l'autorità delegata dall'utente di controllo per accedere ai dati. In genere, gli agenti di codifica vengono eseguiti con tutti i privilegi dell'utente, ma a differenza degli esseri umani sono soggetti a prompt injection che ne dettano le azioni. Ciò può comportare rischi per l'infrastruttura e i dati che devi prendere in considerazione.
Gli agenti potrebbero interpretare erroneamente i dati come istruzioni, a volte chiamate prompt injection indiretta. Ad esempio, un attore malintenzionato potrebbe creare alcuni prompt dannosi, condividerli direttamente con una vittima (ad es. in un'email o nel calendario) o indirettamente (ad es. includendoli in Cloud Storage o BigQuery) e attendere che l'agente agisca su questi prompt dannosi.
Per ridurre il rischio, ti consigliamo di prendere in considerazione le seguenti misure di sicurezza aggiuntive.
Se possibile, esegui gli agenti in un ambiente limitato. Un esempio canonico è che gli utenti visualizzino gli agenti solo su Cloud Workstations, disabilitando l'accesso a internet e senza privilegi di root. Ti consigliamo inoltre di configurare le protezioni VPC-SC su Cloud Workstations.
Intestazione di limitazione dell'organizzazione: in alternativa, le organizzazioni con proxy di sicurezza di rete al confine della rete aziendale possono abilitare l'intestazione di limitazione dell'organizzazione. Una volta eseguito il deployment, questa operazione limiterà l'insieme di risorse accessibili dalla rete aziendale a un insieme specifico di Google Cloud organizzazioni (ad esempio l'organizzazione principale dell' azienda), impedendo agli agenti (e agli esseri umani) di accedere alle risorse al di fuori del tenant aziendale Google Cloud. Se la tua organizzazione utilizza già un proxy di traffico in uscita, potrebbe supportare questa funzionalità immediatamente.
Confini di accesso dell'entità (PAB): i PAB consentono di limitare l'insieme di risorse a cui un insieme specifico di identità può accedere. Per gli agenti di codifica, gli agenti possono essere eseguiti come propria identità (ad esempio, un account di servizio o la nuova identità dell'agente disponibile supportata da Agent Runtime) o utilizzando l'autorità delegata dell'utente. I PAB possono essere abilitati per limitare l'accesso alle risorse dell'organizzazione in entrambi i casi, anche se l'applicazione del limite all'identità umana limiterà anche l'accesso dell'essere umano.
Controlli di servizio VPC - Le organizzazioni che includono la propria rete aziendale all'interno di un perimetro dei Controlli di servizio VPC sono già protette da questi rischi quando provengono direttamente dall'esterno del perimetro VPC. Le organizzazioni che si preoccupano dell'esfiltrazione di dati tramite Google Cloud, inclusi gli agenti, potrebbero valutare se i Controlli di servizio VPC sono adatti al loro ambiente.
Model Armor: abilita Model Armor per rilevare e bloccare potenziali attacchi di prompt injection dai dati a cui si accede tramite i server MCP gestiti di Google.