程式碼編寫代理程式通常會部署在使用者工作站本機,並利用控制使用者委派的授權存取資料。一般來說,程式碼代理程式會以使用者的所有權限執行,但與人類不同,程式碼代理程式容易受到提示詞注入影響,進而決定其動作。這可能會對基礎架構和資料造成風險,請務必留意。
代理程式可能會誤將資料解讀為指令,這有時稱為間接提示詞注入。舉例來說,惡意行為人可能會建立一些惡意提示,直接 (例如透過電子郵件或日曆) 或間接 (例如將提示納入 Cloud Storage 或 BigQuery) 與受害者分享,並等待代理程式根據這些惡意提示採取行動。
為協助降低風險,建議您考慮下列額外的防護措施。
盡可能在受限制的環境中執行代理程式。舉例來說,使用者只能在 Cloud Workstations 上啟動代理程式,且無法存取網際網路,也沒有根層級權限。我們也建議您在 Cloud Workstations 上設定 VPC-SC 保護措施。
機構限制標頭:如果機構在公司網路邊界設有網路安全 Proxy,可以啟用機構限制標頭。部署後,從公司網路可存取的資源集會限制為特定機構單位集 (例如企業的主要機構單位),禁止代理程式 (和人員) 存取 Google Cloud公司租戶外部的資源。Google Cloud 如果貴機構已使用輸出 Proxy,可能支援這項功能。
主體存取邊界 (PAB):PAB 可限制特定身分可存取的資源集。對於程式碼編寫代理程式,代理程式可以自己的身分執行 (例如服務帳戶或 Vertex AI Agent Engine 支援的代理程式身分),也可以使用使用者的委派授權。無論是哪種情況,您都可以啟用 PAB,將存取權限制為僅限機構資源,但如果將限制套用至人類身分,人類的存取權也會受到限制。
VPC Service Controls - 如果機構將公司網路納入 VPC Service Controls 範圍,當這些風險直接來自虛擬私有雲範圍外部時,系統就會提供保護。如果貴機構擔心透過 Google Cloud(包括透過代理程式) 竊取資料,不妨考慮在環境中導入 VPC Service Controls。
Model Armor:啟用 Model Armor,偵測並封鎖透過 Google 代管 MCP 伺服器存取資料時,可能發生的提示詞注入攻擊。