Gli agenti di codifica vengono spesso implementati localmente sulla workstation di un utente sfruttando l'autorità delegata dall'utente che controlla l'accesso ai dati. In genere, gli agenti di codifica vengono eseguiti con tutti i privilegi dell'utente, ma a differenza degli esseri umani sono suscettibili alla prompt injection che ne detta le azioni. Ciò può comportare rischi per la tua infrastruttura e i tuoi dati che devi prendere in considerazione.
Gli agenti potrebbero interpretare erroneamente i dati come istruzioni, a volte chiamate prompt injection indiretta. Ad esempio, un malintenzionato potrebbe creare alcuni prompt dannosi, condividerli direttamente con una vittima (ad es. in un'email o in un calendario) o indirettamente (ad es. includendoli in Cloud Storage o BigQuery) e attendere che l'agente agisca in base a questi prompt dannosi.
Per ridurre il rischio, ti consigliamo di prendere in considerazione le seguenti misure di salvaguardia aggiuntive.
Esegui gli agenti in un ambiente limitato, se possibile. Un esempio canonico è quello di consentire agli utenti di visualizzare gli agenti solo su Cloud Workstations, disabilitando l'accesso a internet e senza privilegi di root. Ti consigliamo inoltre di configurare le protezioni VPC-SC su Cloud Workstations.
Intestazione di restrizione dell'organizzazione: in alternativa, le organizzazioni con proxy di sicurezza di rete al confine della propria rete aziendale possono attivare l'intestazione di restrizione dell'organizzazione. Una volta implementato, questo criterio limiterà l'insieme di risorse accessibili dalla rete aziendale a un insieme specifico di organizzazioniGoogle Cloud (ad esempio l'organizzazione principale dell'impresa), impedendo agli agenti (e alle persone) di accedere alle risorse al di fuori del tenant aziendale di Google Cloud. Se la tua organizzazione utilizza già un proxy in uscita, potrebbe supportare questa funzionalità immediatamente.
Principal Access Boundaries (PAB): i PAB consentono di limitare l'insieme di risorse a cui può accedere un determinato insieme di identità. Per gli agenti di codifica, gli agenti possono essere eseguiti come propria identità (ad esempio unaccount di serviziot o la nuova identità dell'agente supportata da Vertex AI Agent Engine) o utilizzando l'autorità delegata dell'utente. I PAB possono essere attivati per limitare l'accesso solo alle risorse dell'organizzazione in entrambi i casi, anche se l'applicazione del limite all'identità umana limiterà anche l'accesso dell'utente.
Controlli di servizio VPC: le organizzazioni che includono la propria rete aziendale in un perimetro dei Controlli di servizio VPC sono già protette da questi rischi quando provengono direttamente dall'esterno del perimetro VPC. Le organizzazioni che si preoccupano dell'esfiltrazione di dati tramite Google Cloud, anche tramite agenti, potrebbero valutare se i Controlli di servizio VPC sono adatti al loro ambiente.
Model Armor: abilita Model Armor per rilevare e bloccare potenziali attacchi di prompt injection dai dati a cui si accede tramite i server MCP gestiti da Google.