코딩 에이전트는 제어 사용자가 위임한 권한을 활용하여 데이터에 액세스하는 사용자 워크스테이션에 로컬로 배포되는 경우가 많습니다. 일반적으로 코딩 에이전트는 사용자의 모든 권한으로 실행되지만 사람과 달리 프롬프트 인젝션에 취약하여 프롬프트에 따라 행동합니다. 이로 인해 인프라와 데이터에 위험이 발생할 수 있으므로 고려해야 합니다.
에이전트가 데이터를 요청 사항으로 잘못 해석할 수 있으며, 이를 간접 프롬프트 인젝션이라고도 합니다. 예를 들어 악의적인 행위자가 악성 프롬프트를 만들어 피해자에게 직접 (예: 이메일 또는 캘린더) 또는 간접적으로 (예: Cloud Storage 또는 BigQuery에 포함) 공유하고 에이전트가 이러한 악성 프롬프트에 따라 조치를 취하기를 기다릴 수 있습니다.
위험을 줄이기 위해 다음 추가 가이드라인을 고려하는 것이 좋습니다.
가능한 경우 제한된 환경에서 에이전트를 실행합니다. 표준적인 예는 사용자가 Cloud Workstations에서만 에이전트를 가져오도록 하여 인터넷 액세스를 사용 중지하고 루트 권한이 없는 것입니다. Cloud Workstations에서 VPC-SC 보호를 구성하는 것도 좋습니다.
조직 액세스 제한 헤더 – 회사 네트워크 경계에 네트워크 보안 프록시가 있는 조직은 대신 조직 액세스 제한 헤더를 사용 설정할 수 있습니다. 배포되면 회사 네트워크에서 액세스할 수 있는 리소스 집합이 특정Google Cloud 조직 (예: 엔터프라이즈의 기본 조직)으로 제한되어 에이전트 (및 사람)가 Google Cloud의 회사 테넌트 외부의 리소스에 액세스하지 못하도록 차단됩니다. 조직에서 이미 이그레스 프록시를 사용하는 경우 이 기능을 기본적으로 지원할 수 있습니다.
주 구성원 액세스 경계(PAB): PAB를 사용하면 특정 ID 집합이 액세스할 수 있는 리소스 집합을 제한할 수 있습니다. 코딩 에이전트의 경우 에이전트가 자체 ID (예: 서비스 계정 또는 Vertex AI Agent Engine에서 지원하는 새로 제공되는 에이전트 ID)로 실행되거나 사용자의 위임된 권한을 사용하여 실행될 수 있습니다. 두 경우 모두 조직의 리소스에만 액세스하도록 PAB를 사용 설정할 수 있지만, 사람 ID에 제한을 적용하면 사람의 액세스도 제한됩니다.
VPC 서비스 제어 - VPC 서비스 제어 경계 내에 회사 네트워크를 포함하는 조직은 VPC 경계 외부에서 직접 시작되는 경우 이러한 위험으로부터 이미 보호됩니다. 에이전트를 통한 방법을 비롯해 Google Cloud를 통한 데이터 무단 반출을 우려하는 조직은 환경에서 VPC 서비스 제어가 적합한지 고려해 볼 수 있습니다.
Model Armor - Model Armor를 사용 설정하여 Google의 관리형 MCP 서버를 통해 액세스하는 데이터에서 발생할 수 있는 프롬프트 인젝션 공격을 감지하고 차단합니다.