
Агент ИИ меняет историю безопасности облачных данных
13 августа 2025 г.ИИ больше не является пассивным автозаполнением. «Агентные» системы могут устанавливать подборы, цепные инструменты, вызовы, просматривать, записать и запускать код и запоминать контекст. Эта автономия открывает огромную производительность и совершенно новую поверхность атаки с высокой скоростью вокруг инструкций, инструментов и потоков данных. Традиционные облачные элементы управления (CSPM/DLP/брандмауэры) не видят и не останавливают многие из этих поведений. Новая история безопасности сочетает в себе ограждения агентов, инструменты с наименьшим количеством специальностей, изоляцию, центр данных, непрерывные эваль и конфиденциальные вычисления, все это управляется в рамках развивающихся структур и правил.
От генерации доАгент: Что изменилось?
Agentic AI = Системы, направленные на цели, которые планируют, используют инструменты и память и координируют шаги (часто для нескольких агентов) для достижения результатов, а не только создают текст. Недавние обследования и отраслевые анализы выделяют архитектуры агентов (одно/много -агент), петли планирования/выполнения и модели, использующие инструменты, которые превращают модели в проактивных сотрудников.
Этот сдвиг вызывает риск из «Что сказала модель?» «Что модель« делала »с моими учетными данными, API и данными?»
Новая поверхность атаки (и почему облако делает ее колючей)
- Заглавная инъекция (прямой и косвенная) - противники скрывают инструкции в пользовательском вводеилиВ документах/веб -страницах агент читает, направляя его к утечке секретов, данных Exfiltrate или выполняет непреднамеренные действия с помощью подключенных инструментов. OWASP теперь рассматривает оперативную инъекцию как верхний риск LLM, детализируя прямые, косвенные и запутанные варианты.
- Неправильное использование инструментов / функции - как только агент имеет доступ к инструментам (файловые системы, электронная почта, SaaS, Cloud API), один шаг с принуждением (например, «напишите мне последние 100 имен объектов S3») становится событием потери данных. Основные поставщики опубликовали руководство по косвенной оперативной инъекции в корпоративных рабочих процессах.
- LLM -N -Native Worms & Multi -Agent «оперативная инфекция» - в роях агентов, злонамеренные инструкции могут прыгать между агентами и саморебликанцем, превращая оркестровку в вектор атаки. Исследовательские документы LLM -TO -LLM Распространения в нескольких агентах.
- Риски для поставки в экосистемах модели и инструментов - отравление модели и злонамеренные плагины/разъемы угрожают пользователям вниз по течению; Miter Atlas Каталоги реализует реальные паттерны атаки на системах с поддержкой AI (включая случаи LLM).
- Риски из тряпичной заземления и галлюцинации - когда поиск подает ненадежный или устаревший контент, агенты могут с уверенностью действовать на ложь. Облачные провайдеры подчеркивают многоуровневую безопасность, включая проверки заземления и DLP, для смягчения утечки или нарушений политики.
Почему облако усиливает его: без сервера клей, векторные DBS, общие секреты, широкие роли IAM и выходные пути делают ошибки агента масштабируемым. Многие сетевые элементы управления не понимают «подсказки», «звонки инструментов» или «заземляющие корпорации», поэтому они полностью упускают угрозы, которые полностью пропускают инструкции. Ведущие голоса безопасности и OWASP явно вызывают этот пробел.
Давление управления реально (и в ближайшем будущем)
NIST AI RMF 1.0 и 2024 Genai Profile предоставляют магистраль MAP -MEASURE -MANER -GOVERN, с конкретными соображениями риска GENAI для организации надежного, безопасного ИИ.
Закон ЕС АИ ошеломил эффективные даты: запреты и грамотность до 2 февраля 2025 года, обязательства управления/GPAI (включая штрафы) до 2 августа 2025 года, а также более широкие обязательства, завершающие 2026-2027. Если вы запускаете возможности GPAI/LLM в или для ЕС, ваши часы соответствия уже тикают.
Агент AI Security Blueprint для облака
Я считаю, что это модель поможет предприятиям оставаться в безопасности, так как агент AI изменит ландшафт безопасности облачных данных.
- Идентификация, секреты и наименее деятельность для агентов и инструментов:Условия агента по объему к самому узкому набору API; Удалить подстановочные знаки; Часто вращайте клавиши. Использовать основные предназначенные принципы и временные токены на перспективе; Никогда не делиться платформой магистральными учетными данными. Обработайте векторные DBS и тряпные индексы как конфиденциальные хранилища данных с их собственными правами. Почему это важно: неправильное использование инструментов - это драйвер Blast -Radius. Если косвенная подсказка достигает успеха, наименьшая деятельность сохраняет «упс» маленькими. Управляющие кадры OWASP в LLM именно воздействуют на то, что воздействуют на обходные ограждения и несанкционированные действия.
- Изоляция и выходное управление:Запустите агенты в песочнице VPC (без исходящего интернета по умолчанию), с явными выходами для поиска источников поиска и API. Для данных высокого значения/AI принимайте конфиденциальные вычисления: вывод модели перемещения или код агента в TEE, связанные с графическими процессорами (засвидетельство, оборудованное выполнение), чтобы данные оставались защищенными в использовании. В настоящее время Azure предлагает конфиденциальные виртуальные машины GPU с NVIDIA H100S и AMD SEV -SNP, что обеспечивает проверку конечного достоверного выполнения для рабочих нагрузок ИИ - эксплуатации, который вы хотите, когда агенты касаются регулируемых или проприетарных данных.
- Управление положениями безопасности данных (DSPM):Непрерывно обнаруживайте, классифицируйте и чувствительны к карту данных в облаках, включая ведра теневых, DBS и векторные запасы. Расположение приоритетов исправления по путям воздействия (общественные ведра, чрезмерные пермиссионные роли, вычислительный интернет). Feed DSPM понимает оценку риска агента: действия на «ограниченных» наборах данных должны автоматически трения (просмотр, HIL или блокировку).
- Guardrails, Content Safety & Granking проверки:Перед моделью: входы фильтров для джейлбрейков, быстрой атаки и PII; Обеспечение отрицало темы. После модели: фильтра «Выходы нанесения вреда», обнаружение/исправление неземных претензий и утечка чувствительной информации. В разных моделях: централизовать политики, чтобы они путешествовали с приложением, а не с моделью фундамента.Облачные варианты:AWS Bedrock Guardrails - Фильтры содержимого, маскировка PII, обнаружение быстрого атаки, проверки заземления. Azure AI Safety-Основные щиты, обнаружение охраняемого материала, коррекция заземления. Google Vertex AI Safety Многослойные фильтры, DLP, Gemini-AS Filter.
- Проверка времени выполнения для использования инструмента:Посреднитесь каждому инструментальному вызову через механизм политики, который проверяет намерения (наименьшие оценки, теги данных, границы арендаторов). Зарегистрируйте полную цепочку мышления → План → Метаданные действия (без хранения чувствительных подсказок излишне). Добавьте проверки предварительной компетенции на действия высокого риска (экспорт данных, внешняя электронная почта, Exec Code) с человеческим - в пятном или многопартийном одобрении. Верблюд Google DeepMind предлагает превращение естественных команд на типизированные, проверенные планы с ограничениями ввода/вывода, уменьшающими побочные эффекты, управляемые инъекцией.
- Непрерывные эвалы, красная команда и телеметрия:Принять безопасные эвалы и состязательные тестирование в качестве CI для агентов (пристройки атаки, заземление/галлюцинация, токсичные выходы, утечка данных). Используйте Miter Atlas для структуры моделирования атаки и трека. Инциденты подачи в модельные карты и документы управления для прозрачности и соответствия.
- Регулирование и картирование политики:Управление MAP до NIST AI RMF (MAP / MARD / MANAGE / GOUNT). Сохраните доказательства времен Закона ЕС, особенно обязательств GPAI, начиная с 2 августа 2025 года. Почему это работает: это многослойные, облачные и готовые к регулированию. Он рассматривает уровень инструкций (подсказка, планы), уровень выполнения (инструменты, API) и уровень данных (DSPM, Confidential Compute) - все под эгидой управления.
Применить это на практике: пьеса 30/60/90
Первые 30 дней - видимость и базовые линии
- Инвентаризация всех агентских приложений, инструментов, учетных данных и точек соприкосновения данных; Чувствительные теги и индексы RAG
- Встаньте охраны безопасности контента и базовые фильтры для джейлбрейка/атаки с приглашением перед каждой конечной точкой агента.
- Добавьте обнаружение непрямого въезда к любому агенту, который читает электронную почту/веб -сайт/документы.
Дни 31–60 - контроль и содержать
- Переместить агентов в песочницы, контролируемые выходом; Реализовать политику, опосредованные инструментами, с наименьшей привилегией.
- Введите проверки заземления + редактирование DLP/PII в выходах, особенно для тряпичных приложений.
- Начать безопасность оценки CI на каждом выпуске; Семя с сценариями OWASP LLM TOP -10.
Дни 61–90 - гарантировать и масштаб
- Пилотный конфиденциальный вывод графического процессора для наборов данных/моделей Crown -Jewel; Требовать удаленной аттестации в трубопроводах.
- Формализуйте оценку риска для действий агента (чувствительность данных × тип действия × назначение) и привязаться к рабочим процессам принуждения (разрешить/warn/hil/block).
- Выравнивать документацию с NIST AI RMF и подготовить доказательства для обязательств АКТ ЕС в 2025–2027 годах.
FAQ, которые вы получите
«Разве наши текущие средства управления облаками не покрывают это?»
Не полностью. Брандмауэры и Siems не разрабатывают подсказки или планы агентов; инъекция, сбои заземления и неправильное использование инструментоввышесетевой уровень. Вам нужны инструкционные ограждения и инструментальные среды, а также посадочны для данных, чтобы закрыть пробел.«Что минимально мы должны сделать для ближайшего соответствия?»
Документальные варианты использования ИИ, риски и смягчения в соответствии с NIST AI RMF; развернуть базовую безопасность контента и обусловленное инструментом наименьшее количество наименьших районов; начинать безопасные эвалы; Отслеживание вехи Закона ЕС (Запреты и грамотность до 2 февраля 2025 года; GPAI & Senalties до 2 августа 2025 года; Обязательства с высоким уровнем риска к 2026–2027 годам).«А как насчет блокировки продавца в ограждениях?»
Сохраняйте политику портативными: определите их вне модели (например, уровень политики агента + DSPM + Content -Safety Services). Основные облака предоставляют аналогичные примитивы (фильтры, редакция PII, проверки заземления), поэтому вы можете абстрагировать на уровне приложения.Суть
Агент ИИ меняет модель вашей угрозы: инструкции становятся кодом, инструменты становятся Syscalls, а потоки данных становятся цепочкой убийств. Организации, которые выиграют, будут рассматривать агентов как рабочие нагрузки первого класса с инструментами, закрепленными идентификацией, изоляцией, DSPM, ограждениями, проверкой времени выполнения, непрерывными эвалями и конфиденциальными вычислениями и управляют всем этим под временем IIST AI RMF и временной границей EU AI.
Оригинал