Агент ИИ меняет историю безопасности облачных данных

Агент ИИ меняет историю безопасности облачных данных

13 августа 2025 г.

ИИ больше не является пассивным автозаполнением. «Агентные» системы могут устанавливать подборы, цепные инструменты, вызовы, просматривать, записать и запускать код и запоминать контекст. Эта автономия открывает огромную производительность и совершенно новую поверхность атаки с высокой скоростью вокруг инструкций, инструментов и потоков данных. Традиционные облачные элементы управления (CSPM/DLP/брандмауэры) не видят и не останавливают многие из этих поведений. Новая история безопасности сочетает в себе ограждения агентов, инструменты с наименьшим количеством специальностей, изоляцию, центр данных, непрерывные эваль и конфиденциальные вычисления, все это управляется в рамках развивающихся структур и правил.

От генерации доАгент: Что изменилось?

Agentic AI = Системы, направленные на цели, которые планируют, используют инструменты и память и координируют шаги (часто для нескольких агентов) для достижения результатов, а не только создают текст. Недавние обследования и отраслевые анализы выделяют архитектуры агентов (одно/много -агент), петли планирования/выполнения и модели, использующие инструменты, которые превращают модели в проактивных сотрудников.
Этот сдвиг вызывает риск из «Что сказала модель?» «Что модель« делала »с моими учетными данными, API и данными?»

Agentic AI: Autonomy, Power, and a Whole New Attack Surface

Новая поверхность атаки (и почему облако делает ее колючей)

  1. Заглавная инъекция (прямой и косвенная) - противники скрывают инструкции в пользовательском вводеилиВ документах/веб -страницах агент читает, направляя его к утечке секретов, данных Exfiltrate или выполняет непреднамеренные действия с помощью подключенных инструментов. OWASP теперь рассматривает оперативную инъекцию как верхний риск LLM, детализируя прямые, косвенные и запутанные варианты.
  2. Неправильное использование инструментов / функции - как только агент имеет доступ к инструментам (файловые системы, электронная почта, SaaS, Cloud API), один шаг с принуждением (например, «напишите мне последние 100 имен объектов S3») становится событием потери данных. Основные поставщики опубликовали руководство по косвенной оперативной инъекции в корпоративных рабочих процессах.
  3. LLM -N -Native Worms & Multi -Agent «оперативная инфекция» - в роях агентов, злонамеренные инструкции могут прыгать между агентами и саморебликанцем, превращая оркестровку в вектор атаки. Исследовательские документы LLM -TO -LLM Распространения в нескольких агентах.
  4. Риски для поставки в экосистемах модели и инструментов - отравление модели и злонамеренные плагины/разъемы угрожают пользователям вниз по течению; Miter Atlas Каталоги реализует реальные паттерны атаки на системах с поддержкой AI (включая случаи LLM).
  5. Риски из тряпичной заземления и галлюцинации - когда поиск подает ненадежный или устаревший контент, агенты могут с уверенностью действовать на ложь. Облачные провайдеры подчеркивают многоуровневую безопасность, включая проверки заземления и DLP, для смягчения утечки или нарушений политики.

Почему облако усиливает его: без сервера клей, векторные DBS, общие секреты, широкие роли IAM и выходные пути делают ошибки агента масштабируемым. Многие сетевые элементы управления не понимают «подсказки», «звонки инструментов» или «заземляющие корпорации», поэтому они полностью упускают угрозы, которые полностью пропускают инструкции. Ведущие голоса безопасности и OWASP явно вызывают этот пробел.

Давление управления реально (и в ближайшем будущем)

  • NIST AI RMF 1.0 и 2024 Genai Profile предоставляют магистраль MAP -MEASURE -MANER -GOVERN, с конкретными соображениями риска GENAI для организации надежного, безопасного ИИ.

  • Закон ЕС АИ ошеломил эффективные даты: запреты и грамотность до 2 февраля 2025 года, обязательства управления/GPAI (включая штрафы) до 2 августа 2025 года, а также более широкие обязательства, завершающие 2026-2027. Если вы запускаете возможности GPAI/LLM в или для ЕС, ваши часы соответствия уже тикают.

    Агент AI Security Blueprint для облака

    Я считаю, что это модель поможет предприятиям оставаться в безопасности, так как агент AI изменит ландшафт безопасности облачных данных.

    1. Идентификация, секреты и наименее деятельность для агентов и инструментов:Условия агента по объему к самому узкому набору API; Удалить подстановочные знаки; Часто вращайте клавиши. Использовать основные предназначенные принципы и временные токены на перспективе; Никогда не делиться платформой магистральными учетными данными. Обработайте векторные DBS и тряпные индексы как конфиденциальные хранилища данных с их собственными правами. Почему это важно: неправильное использование инструментов - это драйвер Blast -Radius. Если косвенная подсказка достигает успеха, наименьшая деятельность сохраняет «упс» маленькими. Управляющие кадры OWASP в LLM именно воздействуют на то, что воздействуют на обходные ограждения и несанкционированные действия.
    2. Изоляция и выходное управление:Запустите агенты в песочнице VPC (без исходящего интернета по умолчанию), с явными выходами для поиска источников поиска и API. Для данных высокого значения/AI принимайте конфиденциальные вычисления: вывод модели перемещения или код агента в TEE, связанные с графическими процессорами (засвидетельство, оборудованное выполнение), чтобы данные оставались защищенными в использовании. В настоящее время Azure предлагает конфиденциальные виртуальные машины GPU с NVIDIA H100S и AMD SEV -SNP, что обеспечивает проверку конечного достоверного выполнения для рабочих нагрузок ИИ - эксплуатации, который вы хотите, когда агенты касаются регулируемых или проприетарных данных.
    3. Управление положениями безопасности данных (DSPM):Непрерывно обнаруживайте, классифицируйте и чувствительны к карту данных в облаках, включая ведра теневых, DBS и векторные запасы. Расположение приоритетов исправления по путям воздействия (общественные ведра, чрезмерные пермиссионные роли, вычислительный интернет). Feed DSPM понимает оценку риска агента: действия на «ограниченных» наборах данных должны автоматически трения (просмотр, HIL или блокировку).
    4. Guardrails, Content Safety & Granking проверки:Перед моделью: входы фильтров для джейлбрейков, быстрой атаки и PII; Обеспечение отрицало темы. После модели: фильтра «Выходы нанесения вреда», обнаружение/исправление неземных претензий и утечка чувствительной информации. В разных моделях: централизовать политики, чтобы они путешествовали с приложением, а не с моделью фундамента.Облачные варианты:AWS Bedrock Guardrails - Фильтры содержимого, маскировка PII, обнаружение быстрого атаки, проверки заземления. Azure AI Safety-Основные щиты, обнаружение охраняемого материала, коррекция заземления. Google Vertex AI Safety Многослойные фильтры, DLP, Gemini-AS Filter.
    5. Проверка времени выполнения для использования инструмента:Посреднитесь каждому инструментальному вызову через механизм политики, который проверяет намерения (наименьшие оценки, теги данных, границы арендаторов). Зарегистрируйте полную цепочку мышления → План → Метаданные действия (без хранения чувствительных подсказок излишне). Добавьте проверки предварительной компетенции на действия высокого риска (экспорт данных, внешняя электронная почта, Exec Code) с человеческим - в пятном или многопартийном одобрении. Верблюд Google DeepMind предлагает превращение естественных команд на типизированные, проверенные планы с ограничениями ввода/вывода, уменьшающими побочные эффекты, управляемые инъекцией.
    6. Непрерывные эвалы, красная команда и телеметрия:Принять безопасные эвалы и состязательные тестирование в качестве CI для агентов (пристройки атаки, заземление/галлюцинация, токсичные выходы, утечка данных). Используйте Miter Atlas для структуры моделирования атаки и трека. Инциденты подачи в модельные карты и документы управления для прозрачности и соответствия.
    7. Регулирование и картирование политики:Управление MAP до NIST AI RMF (MAP / MARD / MANAGE / GOUNT). Сохраните доказательства времен Закона ЕС, особенно обязательств GPAI, начиная с 2 августа 2025 года. Почему это работает: это многослойные, облачные и готовые к регулированию. Он рассматривает уровень инструкций (подсказка, планы), уровень выполнения (инструменты, API) и уровень данных (DSPM, Confidential Compute) - все под эгидой управления.

    Применить это на практике: пьеса 30/60/90

    Первые 30 дней - видимость и базовые линии

    • Инвентаризация всех агентских приложений, инструментов, учетных данных и точек соприкосновения данных; Чувствительные теги и индексы RAG
    • Встаньте охраны безопасности контента и базовые фильтры для джейлбрейка/атаки с приглашением перед каждой конечной точкой агента.
    • Добавьте обнаружение непрямого въезда к любому агенту, который читает электронную почту/веб -сайт/документы.

    Дни 31–60 - контроль и содержать

    • Переместить агентов в песочницы, контролируемые выходом; Реализовать политику, опосредованные инструментами, с наименьшей привилегией.
    • Введите проверки заземления + редактирование DLP/PII в выходах, особенно для тряпичных приложений.
    • Начать безопасность оценки CI на каждом выпуске; Семя с сценариями OWASP LLM TOP -10.

    Дни 61–90 - гарантировать и масштаб

    • Пилотный конфиденциальный вывод графического процессора для наборов данных/моделей Crown -Jewel; Требовать удаленной аттестации в трубопроводах.
    • Формализуйте оценку риска для действий агента (чувствительность данных × тип действия × назначение) и привязаться к рабочим процессам принуждения (разрешить/warn/hil/block).
    • Выравнивать документацию с NIST AI RMF и подготовить доказательства для обязательств АКТ ЕС в 2025–2027 годах.

    FAQ, которые вы получите

    «Разве наши текущие средства управления облаками не покрывают это?»
    Не полностью. Брандмауэры и Siems не разрабатывают подсказки или планы агентов; инъекция, сбои заземления и неправильное использование инструментоввышесетевой уровень. Вам нужны инструкционные ограждения и инструментальные среды, а также посадочны для данных, чтобы закрыть пробел.

    «Что минимально мы должны сделать для ближайшего соответствия?»
    Документальные варианты использования ИИ, риски и смягчения в соответствии с NIST AI RMF; развернуть базовую безопасность контента и обусловленное инструментом наименьшее количество наименьших районов; начинать безопасные эвалы; Отслеживание вехи Закона ЕС (Запреты и грамотность до 2 февраля 2025 года; GPAI & Senalties до 2 августа 2025 года; Обязательства с высоким уровнем риска к 2026–2027 годам).

    «А как насчет блокировки продавца в ограждениях?»
    Сохраняйте политику портативными: определите их вне модели (например, уровень политики агента + DSPM + Content -Safety Services). Основные облака предоставляют аналогичные примитивы (фильтры, редакция PII, проверки заземления), поэтому вы можете абстрагировать на уровне приложения.

    Суть

    Агент ИИ меняет модель вашей угрозы: инструкции становятся кодом, инструменты становятся Syscalls, а потоки данных становятся цепочкой убийств. Организации, которые выиграют, будут рассматривать агентов как рабочие нагрузки первого класса с инструментами, закрепленными идентификацией, изоляцией, DSPM, ограждениями, проверкой времени выполнения, непрерывными эвалями и конфиденциальными вычислениями и управляют всем этим под временем IIST AI RMF и временной границей EU AI.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE