Les agents de codage sont souvent déployés localement sur le poste de travail d'un utilisateur, en s'appuyant sur l'autorité déléguée par l'utilisateur qui les contrôle pour accéder aux données. En général, les agents de codage s'exécutent avec tous les privilèges de l'utilisateur, mais contrairement aux humains, ils sont sensibles à l'injection de prompt qui dicte leurs actions. Cela peut présenter des risques pour votre infrastructure et vos données, que vous devez prendre en compte.
Les agents peuvent interpréter les données comme des instructions par erreur, ce que l'on appelle parfois l'injection de prompt indirecte. Par exemple, un acteur malveillant peut créer des prompts malveillants, les partager directement avec une victime (par exemple, dans un e-mail ou un agenda) ou indirectement (par exemple, en les incluant dans Cloud Storage ou BigQuery), puis attendre que l'agent agisse sur ces prompts malveillants.
Pour réduire les risques, nous vous recommandons de prendre en compte les mesures de protection supplémentaires suivantes.
Exécutez les agents dans un environnement à ressources limitées lorsque cela est possible. Un exemple canonique consiste à demander aux utilisateurs de n'exécuter les agents que sur Cloud Workstations, en désactivant l'accès à Internet et sans privilèges racine. Nous vous recommandons également de configurer les protections VPC-SC sur Cloud Workstations.
En-tête de restriction de l'organisation : les organisations disposant de proxys de sécurité réseau à la limite de leur réseau d'entreprise peuvent également activer l'en-tête de restriction de l'organisation. Une fois déployé, cet en-tête limite l'ensemble des ressources accessibles depuis le réseau d'entreprise à un ensemble particulier d' Google Cloud organisations (telles que l'organisation d'origine de l' entreprise), empêchant les agents (et les humains) d'accéder aux ressources en dehors du locataire d'entreprise de Google Cloud. Si votre organisation utilise déjà un proxy de sortie, il est possible qu'il soit compatible avec cette fonctionnalité.
Limites d'accès des comptes principaux (PAB) : les PAB permettent de limiter l'ensemble des ressources auxquelles un ensemble particulier d' identités peut accéder. Pour les agents de codage, les agents peuvent s'exécuter en tant qu'identité propre (par exemple, un compte de service ou l'identité d'agent nouvellement disponible compatible avec Agent Runtime) ou en utilisant l'autorité déléguée de l'utilisateur. Les PAB peuvent être activées pour limiter l'accès aux seules ressources de l'organisation dans les deux cas, bien que l'application de la limite à l'identité humaine limite également l'accès de l'humain.
VPC Service Controls - VPC Service Controls : les organisations qui incluent leur réseau d'entreprise dans un périmètre VPC Service Controls sont déjà protégées contre ces risques lorsqu'ils proviennent directement de l'extérieur du périmètre VPC. Les organisations qui s'inquiètent de l'exfiltration de données via Google Cloud, y compris via des agents, peuvent se demander si VPC Service Controls est adapté à leur environnement.
Model Armor : activez Model Armor pour détecter et bloquer les attaques potentielles d'injection de prompt à partir des données auxquelles vous accédez via les serveurs MCP gérés de Google.