Los agentes de codificación suelen implementarse de forma local en la estación de trabajo de un usuario, aprovechando la autoridad delegada por su usuario controlador para acceder a los datos. En general, los agentes de codificación se ejecutan con todos los privilegios del usuario, pero, a diferencia de los humanos, son susceptibles a la inyección de instrucciones que dictan sus acciones. Esto puede representar riesgos para tu infraestructura y tus datos que debes tener en cuenta.
Los agentes pueden interpretar erróneamente los datos como instrucciones, lo que a veces se conoce como inyección indirecta de instrucciones. Por ejemplo, un actor malicioso puede crear algunas instrucciones maliciosas, compartirlas con una víctima directamente (p.ej., en un correo electrónico o calendario) o indirectamente (p.ej., incluyéndolas en Cloud Storage o BigQuery) y esperar a que el agente actúe según estas instrucciones maliciosas.
Para ayudar a reducir el riesgo, te recomendamos que tengas en cuenta las siguientes medidas de protección adicionales.
Ejecuta los agentes en un entorno restringido cuando sea posible. Un ejemplo canónico es hacer que los usuarios solo puedan invocar agentes en Cloud Workstations, inhabilitando el acceso a Internet y sin privilegios de administrador. También recomendamos configurar protecciones de VPC-SC en Cloud Workstations.
Encabezado de restricción para organizaciones: Como alternativa, las organizaciones con proxies de seguridad de red en el límite de su red corporativa pueden habilitar el encabezado de restricción para organizaciones. Cuando se implemente, esto restringirá el conjunto de recursos accesibles desde la red corporativa a un conjunto particular deGoogle Cloud organizaciones (como la organización principal de la empresa), lo que impedirá que los agentes (y las personas) accedan a recursos fuera del arrendatario corporativo de Google Cloud. Si tu organización ya usa un proxy de salida, es posible que admita esta función de inmediato.
Límites de acceso de la principal (PAB): Los PAB proporcionan la capacidad de limitar el conjunto de recursos a los que puede acceder un conjunto particular de identidades. En el caso de los agentes de codificación, estos pueden ejecutarse como su propia identidad (por ejemplo, una cuenta de servicio o la identidad del agente recientemente disponible y compatible con el entorno de ejecución del agente) o con la autoridad delegada del usuario. En ambos casos, se pueden habilitar los PAB para restringir el acceso solo a los recursos de la organización, aunque aplicar el límite a la identidad humana también limitará el acceso de la persona.
Controles del servicio de VPC: Las organizaciones que incluyen su red corporativa dentro de un perímetro de Controles del servicio de VPC ya están protegidas de estos riesgos cuando se originan directamente desde fuera del perímetro de VPC. Las organizaciones que se preocupan por el robo de datos a través de Google Cloud, incluso a través de agentes, pueden considerar si los Controles del servicio de VPC son adecuados para su entorno.
Model Armor: Habilita Model Armor para detectar y bloquear posibles ataques de inyección de instrucciones desde los datos a los que se accede a través de los servidores de MCP administrados por Google.