编码代理通常部署在用户的工作站上,利用其控制用户委托的权限来访问数据。一般来说,编码代理会以用户的全部权限运行,但与人类不同的是,它们容易受到提示注入的攻击,从而按照提示执行操作。这可能会给您的基础设施和数据带来风险,您应考虑这些风险。
代理可能会错误地将数据解读为指令,这种情况有时称为“间接提示注入”。例如,恶意方可能会创建一些恶意提示,直接(例如,通过电子邮件或日历)或间接(例如,通过将它们包含在 Cloud Storage 或 BigQuery 中)与受害者分享,并等待代理根据这些恶意提示采取行动。
为帮助您降低风险,我们建议您考虑以下额外的安全措施。
尽可能在受限的环境中运行代理。一个规范的示例是让用户仅在 Cloud Workstations 上启动代理,同时停用互联网访问权限且不授予 root 权限。我们还建议您在 Cloud Workstations 上配置 VPC-SC 保护措施。
组织限制标头 - 另一种方法是,如果组织在其公司网络边界处有网络安全代理,则可以启用组织限制标头。部署后,此设置会将可从公司网络访问的资源集限制为一组特定的Google Cloud 组织(例如企业的归属组织),从而阻止代理(和人类)访问 Google Cloud公司租户之外的资源。如果您的组织已使用出站代理,它可能开箱即支持此功能。
主账号访问权限边界 (PAB) - PAB 可用于限制特定身份组可以访问的资源集。对于编码代理,代理可以以自己的身份(例如服务账号或 Vertex AI Agent Engine 支持的最新代理身份)运行,也可以使用用户授予的委托权限运行。无论哪种情况,都可以启用 PAB 来限制对组织资源的访问权限,但将限制应用于人类身份也会限制人类的访问权限。
VPC Service Controls - 如果组织将公司网络纳入 VPC Service Controls 边界内,则当这些风险直接源自 VPC 边界外部时,组织已受到保护。如果组织担心通过 Google Cloud(包括通过代理)发生数据渗漏,不妨考虑在自己的环境中是否适合使用 VPC Service Controls。
Model Armor - 启用 Model Armor 可检测并阻止通过 Google 管理的 MCP 服务器访问的数据中潜在的提示注入攻击。