コーディング エージェントは、制御ユーザーによって委任された権限を利用してデータにアクセスし、ユーザーのワークステーションにローカルでデプロイされることがよくあります。一般に、コーディング エージェントはユーザーのすべての権限で実行されますが、人間とは異なり、プロンプト インジェクションによってアクションが指示される可能性があります。これは、インフラストラクチャとデータにリスクをもたらす可能性があるため、考慮する必要があります。
エージェントがデータを指示として誤って解釈することがあります。これは間接的なプロンプト インジェクションと呼ばれることがあります。たとえば、悪意のある行為者が、悪意のあるプロンプトを作成し、被害者に直接(メールやカレンダーなど)または間接的に(Cloud Storage や BigQuery に含めるなど)共有し、エージェントがこれらの悪意のあるプロンプトに対してアクションを起こすのを待つ可能性があります。
リスクを軽減するために、次の追加のガードレールを検討することをおすすめします。
可能であれば、制約のある環境でエージェントを実行します。一般的な例として、ユーザーが Cloud Workstations でのみエージェントを起動し、インターネット アクセスを無効にして、ルート権限を付与しないようにすることがあります。Cloud Workstations で VPC-SC 保護を構成することもおすすめします。
組織内アクセス制限ヘッダー - 別の方法として、企業ネットワークの境界にネットワーク セキュリティ プロキシがある組織は、組織内アクセス制限ヘッダーを有効にできます。デプロイすると、企業ネットワークからアクセスできるリソースのセットが特定のGoogle Cloud 組織(企業のホーム組織など)に制限され、エージェント(およびユーザー)が Google Cloudの企業テナント外のリソースにアクセスできなくなります。組織ですでに下り(外向き)プロキシを使用している場合は、この機能がすぐにサポートされる可能性があります。
プリンシパル アクセス境界(PAB)– PAB を使用すると、特定の ID セットがアクセスできるリソースのセットを制限できます。コーディング エージェントの場合、エージェントは独自の ID(サービス アカウントや、Vertex AI Agent Engine でサポートされている新しいエージェント ID など)として実行することも、ユーザーから委任された権限を使用して実行することもできます。どちらの場合でも、PAB を有効にして組織のリソースへのアクセスを制限できますが、人間の ID に上限を適用すると、人間のアクセスも制限されます。
VPC Service Controls - 企業ネットワークを VPC Service Controls 境界内に含めている組織は、VPC 境界外から直接発生した場合、これらのリスクからすでに保護されています。 Google Cloudを介したデータの引き出し(エージェント経由を含む)を懸念している組織は、VPC Service Controls が環境に適しているかどうかを検討することをおすすめします。
Model Armor - Model Armor を有効にして、Google のマネージド MCP サーバーを介してアクセスされたデータからのプロンプト インジェクション攻撃の可能性を検出し、ブロックします。