Архітектурна безпека агентних систем: ідентифікація, делегування повноважень та аудит
Вичерпний посібник із безпеки описує загрози та інструменти контролю в мережах зв'язку між агентами (A2A) та протоколах контексту моделей (MCP). Розглянуто впровадження верифікації ідентичності, обмеження делегування та налаштування аудиту.
Вплив: Високий
Чому це важливо
Тепер AI-інженери можуть проектувати безпечні мультиагентні системи поза межами однієї організації без ризику витоку даних чи ін'єкцій у промпти.
TL;DR
- 01Традиційні захисні бар'єри моделей є недостатніми; вони захищають діалог, а не рівень дій та протоколів.
- 02Сприймайте будь-які завантажені файли та зовнішні відповіді як небезпечне введення для запобігання непрямим ін'єкціям.
- 03Впроваджуйте спеціалізовані шлюзи A2A/MCP для верифікації дозволів OAuth, маршрутизації та структурованого логування.
Ключові факти
- Основні протоколи
- MCP (Model Context Protocol) та A2A (Agent-to-Agent)
- Рекомендований патерн шлюзу
- A2A Gateway + MCP Proxy
Захисні бар'єри проти безпеки протоколів та політик середовища
Захист агентних процесів вимагає розуміння функцій трьох різних архітектурних рівнів:
- LLM Guardrails: Працюють безпосередньо з введенням та виведенням моделей, блокуючи ін'єкції промптів та валідуючи структуру JSON.
- Безпека протоколів (Protocol Security): Працює на межах агентів. Вона контролює, хто може викликати інструменти MCP, керує токенами OAuth та обмежує повноваження дочірніх агентів.
- Політики середовища виконання (Runtime Policy): Оцінюють правила безпеки незалежно від форми запиту, наприклад, вимагають підтвердження людиною перед зміною баз даних чи блокують несанкціонований вихід у мережу.
Моделювання загроз для мережі агентів
Проектуючи системи з багатьма агентами, розробники мають враховувати специфічні вразливості:
- Отруєні метадані інструментів: Скомпрометований MCP-сервер може підробити опис своїх інструментів, щоб змусити модель викликати критичні функції запису.
- Приховані ланцюжки делегування: Агенти з високими привілеями, які виконують завдання для менш привілейованих диспетчерів, можуть виконати несанкціоновані дії, якщо обмеження прав не передаються по всьому ланцюжку.
- Ін'єкції через артефакти: Файли PDF, CSV або веб-сторінки, які завантажує агент, можуть містити шкідливі інструкції для атакувальних моделей.
Впровадження надійних шлюзів
Для контролю трафіку агентів розгортайте A2A Gateway у парі з MCP Proxy. Шлюз виконує такі функції: 1. Обмін токенами: Припиняє дію зовнішньої автентифікації та зіставляє її з внутрішніми токенами обмеженої дії. 2. Маршрутизація та контроль виходу: Запобігає зверненню агентів до неперевірених хостів та обмежує видимість чутливих навичок за допомогою налаштованих Agent Cards. 3. Структурований аудит: Генерує стандартизовані логи для кожного переходу завдання та виклику інструменту.
Спробуй за 2 хвилини
{
"agent_card": {
"id": "finance-analyzer-v1",
"skills": [
{
"name": "analyze_invoice",
"security": {
"required_oauth_scopes": ["invoices:read"]
}
}
]
}
}json
✓ Коли використовувати
- Проектування мультиагентних систем, де агенти належать різним командам чи звертаються до зовнішніх API.
- Інтеграція сторонніх MCP-серверів, що взаємодіють з продакшн-базами даних чи кодовими репозиторіями.
✕ Коли НЕ варто
- Прості одноагентні додатки, які працюють виключно в ізольованій локальній пісочниці без доступу до інструментів.
- Прості розмовні чат-віджети без можливості делегувати завдання або викликати побічні ефекти.
Що зробити сьогодні
- Проведіть аудит поточних налаштувань MCP та перейдіть від загальних дозволів до білих списків інструментів.
- Налаштуйте MCP-проксі для моніторингу вихідних мережевих запитів, які ініціюють автономні агенти.
Джерела