Coding-Agents werden häufig lokal auf der Workstation eines Nutzers bereitgestellt und nutzen die von ihrem steuernden Nutzer delegierte Berechtigung, um auf Daten zuzugreifen. Im Allgemeinen werden Coding-Agents mit allen Berechtigungen des Nutzers ausgeführt, sind aber im Gegensatz zu Menschen anfällig für Prompt Injection, die ihre Aktionen bestimmt. Dies kann Risiken für Ihre Infrastruktur und Daten bergen, die Sie berücksichtigen sollten.
Agents können Daten fälschlicherweise als Anweisungen interpretieren, was manchmal als indirekte Prompt Injection bezeichnet wird. Ein böswilliger Akteur kann beispielsweise schädliche Prompts erstellen, sie direkt (z.B. in einer E‑Mail oder einem Kalender) oder indirekt (z.B. durch Einbeziehung in Cloud Storage oder BigQuery) an ein Opfer weitergeben und warten, bis der Agent auf diese schädlichen Prompts reagiert.
Um das Risiko zu verringern, empfehlen wir Ihnen, die folgenden zusätzlichen Schutzmaßnahmen zu berücksichtigen.
Führen Sie die Agents nach Möglichkeit in einer eingeschränkten Umgebung aus. Ein typisches Beispiel ist, dass Nutzer Agents nur auf Cloud Workstations aufrufen, den Internetzugriff deaktivieren und keine Root-Berechtigungen haben. Wir empfehlen außerdem, VPC Service Controls -Schutzmaßnahmen auf Cloud Workstations zu konfigurieren.
Header für Organisationseinschränkungen: Alternativ können Organisationen mit Proxys für die Netzwerksicherheit an der Grenze ihres Unternehmensnetzwerks den Header für Organisationseinschränkungen aktivieren. Bei der Bereitstellung wird der Satz von Ressourcen, auf die vom Unternehmensnetzwerk aus zugegriffen werden kann, auf eine bestimmte Gruppe von Google Cloud Organisationen (z. B. die Hauptorganisation des Unternehmens) beschränkt. Dadurch wird verhindert, dass Agents (und Menschen) auf Ressourcen außerhalb des Unternehmenstenants zugreifen Google Cloud. Wenn Ihre Organisation bereits einen Egress-Proxy verwendet, unterstützt dieser diese Funktion sofort.
Principal Access Boundaries (PAB): Mit PABs können Sie die Ressourcen einschränken, auf die eine bestimmte Gruppe von Identitäten zugreifen kann. Bei Coding-Agents können die Agents entweder mit ihrer eigenen Identität (z. B. einem Dienstkonto oder der neu verfügbaren Agenten Identität, die von der Vertex AI Agent Engine unterstützt wird) oder mit der delegierten Berechtigung des Nutzers ausgeführt werden. In beiden Fällen können PABs aktiviert werden, um den Zugriff auf die Ressourcen der Organisation zu beschränken. Wenn Sie die Beschränkung auf die menschliche Identität anwenden, wird auch der Zugriff des Menschen eingeschränkt.
VPC Service Controls: Organisationen, die ihr Unternehmensnetzwerk in einen VPC Service Controls-Perimeter einbeziehen, sind bereits vor diesen Risiken geschützt, wenn sie direkt von außerhalb des VPC-Perimeters stammen. Organisationen, die sich Sorgen um die Daten-Exfiltration machen, auch über Google CloudAgents, sollten prüfen, ob VPC Service Controls in ihrer Umgebung sinnvoll ist.
Model Armor: Aktivieren Sie Model Armor, um potenzielle Prompt Injection-Angriffe von Daten zu erkennen und zu blockieren, auf die über die verwalteten MCP-Server von Google zugegriffen wird.