Los agentes de codificación suelen implementarse de forma local en la estación de trabajo de un usuario y aprovechan la autoridad delegada por su usuario de control para acceder a los datos. Por lo general, los agentes de codificación se ejecutan con todos los privilegios del usuario, pero, a diferencia de los humanos, son susceptibles a la inyección de instrucciones que dictan sus acciones. Esto puede representar riesgos para tu infraestructura y tus datos que debes tener en cuenta.
Los agentes pueden interpretar erróneamente los datos como instrucciones, lo que a veces se conoce como inyección indirecta de instrucciones. Por ejemplo, un actor malicioso puede crear algunas instrucciones maliciosas, compartirlas directamente con una víctima (p.ej., en un correo electrónico o calendario) o indirectamente (p.ej., incluyéndolas en Cloud Storage o BigQuery) y esperar a que el agente actúe según estas instrucciones maliciosas.
Para ayudar a reducir el riesgo, te recomendamos que tengas en cuenta las siguientes protecciones adicionales.
Ejecuta los agentes en un entorno restringido cuando sea posible. Un ejemplo canónico es que los usuarios solo activen agentes en Cloud Workstations, inhabiliten el acceso a Internet y no tengan privilegios raíz. También recomendamos configurar las protecciones de VPC-SC en Cloud Workstations.
Encabezado de restricción de la organización: Como alternativa, las organizaciones con proxies de seguridad de red en el límite de su red corporativa pueden habilitar el encabezado de restricción de la organización. Cuando se implementa, esto restringirá el conjunto de recursos accesibles desde la red corporativa a un conjunto particular de Google Cloud organizaciones (como la organización principal de la empresa), lo que impedirá que los agentes (y los humanos) accedan a recursos fuera del tenant corporativo de Google Cloud. Si tu organización ya usa un proxy de salida, es posible que admita esta función de inmediato.
Límites de acceso de las principales (PAB): Los PAB proporcionan la capacidad de limitar el conjunto de recursos a los que puede acceder un conjunto particular de identidades. Para los agentes de codificación, los agentes pueden ejecutarse como su propia identidad (por ejemplo, una cuenta de servicio o la identidad de agente recientemente disponible compatible con Vertex AI Agent Engine) o usar la autoridad delegada del usuario. Los PAB se pueden habilitar para restringir el acceso solo a los recursos de la organización en cualquier caso, aunque aplicar el límite a la identidad humana también limitará el acceso del humano.
Controles del servicio de VPC - Las organizaciones que incluyen su red corporativa dentro de un perímetro de Controles del servicio de VPC ya están protegidas de estos riesgos cuando se originan directamente desde fuera del perímetro de VPC. Las organizaciones que se preocupan por el robo de datos a través de Google Cloud, incluso a través de agentes, pueden considerar si los Controles del servicio de VPC tienen sentido en su entorno.
Model Armor: Habilita Model Armor para detectar y bloquear posibles ataques de inyección de instrucciones de los datos a los que se accede a través de los servidores MCP administrados de Google.