Les agents de codage sont souvent déployés localement sur le poste de travail d'un utilisateur, en s'appuyant sur l'autorité déléguée par leur utilisateur de contrôle pour accéder aux données. En général, les agents de codage s'exécutent avec tous les privilèges de l'utilisateur, mais contrairement aux humains, ils sont sensibles à l'injection d'instructions qui dictent leurs actions. Cela peut présenter des risques pour votre infrastructure et vos données.
Les agents peuvent interpréter les données comme des instructions par erreur, ce que l'on appelle parfois l'injection indirecte d'instructions. Par exemple, un acteur malveillant peut créer des requêtes malveillantes, les partager directement avec une victime (par exemple, dans un e-mail ou un agenda) ou indirectement (par exemple, en les incluant dans Cloud Storage ou BigQuery), puis attendre que l'agent agisse en fonction de ces requêtes malveillantes.
Pour réduire les risques, nous vous recommandons de prendre en compte les consignes supplémentaires suivantes.
Exécutez les agents dans un environnement à ressources limitées lorsque cela est possible. Un exemple canonique consiste à demander aux utilisateurs de lancer des agents uniquement sur Cloud Workstations, en désactivant l'accès à Internet et sans privilèges root. Nous vous recommandons également de configurer les protections VPC-SC sur Cloud Workstations.
En-tête de restriction de l'organisation : les organisations disposant de proxys de sécurité réseau à la limite de leur réseau d'entreprise peuvent activer l'en-tête de restriction de l'organisation. Une fois déployé, cela limitera l'ensemble des ressources accessibles depuis le réseau de l'entreprise à un ensemble particulier d'organisationsGoogle Cloud (telles que l'organisation mère de l'entreprise), empêchant les agents (et les humains) d'accéder aux ressources en dehors du locataire d'entreprise de Google Cloud. Si votre organisation utilise déjà un proxy de sortie, il est possible qu'il soit compatible avec cette fonctionnalité.
Limites d'accès des comptes principaux (PAB) : les PAB permettent de limiter l'ensemble des ressources auxquelles un ensemble d'identités spécifiques peut accéder. Pour les agents de codage, les agents peuvent s'exécuter avec leur propre identité (par exemple, un compte de service ou la nouvelle identité de l'agent compatible avec Vertex AI Agent Engine) ou en utilisant l'autorité déléguée de l'utilisateur. Dans les deux cas, les PAB peuvent être activés pour limiter l'accès aux ressources de l'organisation uniquement. Toutefois, si vous appliquez la limite à une identité humaine, l'accès de la personne sera également limité.
VPC Service Controls : les organisations qui incluent leur réseau d'entreprise dans un périmètre VPC Service Controls sont déjà protégées contre ces risques lorsqu'ils proviennent directement de l'extérieur du périmètre VPC. Les organisations qui craignent l'exfiltration de données via Google Cloud, y compris par le biais d'agents, peuvent se demander si VPC Service Controls est adapté à leur environnement.
Model Armor : activez Model Armor pour détecter et bloquer les potentielles attaques par injection de requêtes à partir des données auxquelles vous accédez via les serveurs MCP gérés par Google.