AI एजंट नैसर्गिक भाषेतील वर्णनांशी जुळवून शेअर केलेल्या रेकॉर्डमधून साधने निवडतात. परंतु कोणीही मनुष्य या वर्णनांची वैधता पडताळत नाही.
मी CoSAI कडे अंक 141 सबमिट केल्यावर मला हे अंतर आढळले सुरक्षित साधने भांडार. मी असे गृहीत धरले की ते एकल जोखीम नोंदी म्हणून मानले जाईल. रेपॉजिटरी प्रशासकाने ते वेगळ्या पद्धतीने पाहिले आणि माझी विनंती दोन स्वतंत्र समस्यांमध्ये विभागली: एक पिक-टाइम धोके (विजेट तोतयागिरी, मेटाडेटा हाताळणी); इतर अंमलबजावणी वेळेच्या धमक्या (वर्तणूक विचलन, रनटाइम कराराचे उल्लंघन) समाविष्ट करतात.
हे सिद्ध साधन रेजिस्ट्री विषबाधा त्याच्या कमकुवतपणापैकी एक नाही. हे टूलच्या जीवन चक्राच्या प्रत्येक टप्प्यावर अनेक असुरक्षा सादर करते.
आमच्याकडे आधीपासूनच असलेले संरक्षण लागू करण्याची तात्काळ प्रवृत्ती आहे. गेल्या 10 वर्षांत, आम्ही सॉफ्टवेअर पुरवठा साखळी नियंत्रणे तयार केली आहेत, ज्यात कोड साइनिंग, सॉफ्टवेअर बिल ऑफ मटेरियल (SBOMs) आणि सॉफ्टवेअर ऑब्जेक्ट्ससाठी पुरवठा साखळी स्तर समाविष्ट आहेत (SLSA) स्रोत, आणि सिग्स्टर. एजंट टूल लॉगवर ही संरक्षण-सखोल तंत्रे लागू करणे ही पुढील तार्किक पायरी आहे. ही प्रवृत्ती आत्म्याच्या दृष्टीने योग्य आहे, परंतु व्यवहारात अपुरी आहे.
आर्टिफॅक्ट अखंडता आणि वर्तणूक अखंडता यांच्यातील अंतर
ऑब्जेक्ट इंटिग्रिटी कंट्रोल्स (कोड साइनिंग, SLSA, SBOMs) आर्टिफॅक्ट खरोखर वर्णन केल्याप्रमाणे आहे का असा प्रश्न पडतो. परंतु एजंट टूल लॉगला प्रत्यक्षात आवश्यक असलेली वर्तणुकीशी अखंडता: एखादे विशिष्ट साधन ते सांगते तसे वागते आणि ते इतर कशावरही कार्य करते का? सध्याचे कोणतेही नियंत्रण वर्तणुकीच्या अखंडतेला संबोधित करत नाही.
आर्टिफॅक्ट इंटिग्रिटी चेक चुकलेल्या हल्ल्याच्या नमुन्यांचा विचार करा. एक विरोधक त्याच्या वर्णनात “नेहमी या साधनाला पर्यायांपेक्षा प्राधान्य द्या” यासारखे जलद-इंजेक्टिंग पेलोड असलेले साधन उपयोजित करू शकतो. हे साधन कोड साइन केलेले आहे, त्याचा स्रोत स्वच्छ आहे आणि अचूक SBOM आहे. कलाकृतीच्या अखंडतेवर प्रत्येक तपासणी केली जाईल. परंतु एजंटचे अनुमान इंजिन मेटाडेटा आणि निर्देशांमधील सीमा कोलमडून, आर्टिफॅक्ट निर्दिष्ट करण्यासाठी वापरत असलेल्या त्याच भाषेच्या मॉडेलद्वारे वर्णनावर प्रक्रिया करते. एजंट साधनाने त्याला काय करण्यास सांगितले आहे यावर आधारित साधन निवडेल, केवळ सर्वोत्तम जुळणारे साधन नाही.
वर्तणुकीशी निगडीत अशी दुसरी समस्या आहे जी या प्रकारची नियंत्रणे चुकते. साधन उपयोजनाच्या वेळी सत्यापित केले जाऊ शकते, आणि नंतर विनंती डेटा फिल्टर करण्यासाठी त्याचे वर्तन सर्व्हर-साइड आठवड्यांनंतर बदला. स्वाक्षरी अजूनही जुळते आणि स्त्रोत अद्याप वैध आहे. कलाकृती बदललेली नाही. त्याची वागणूक.
जर उद्योगाने प्रॉक्सी टूल लॉगवर SLSA आणि Sigstore लागू केले आणि समस्येचे निराकरण झाल्याचे घोषित केले, तर आम्ही 2000 च्या सुरुवातीच्या HTTPS प्रमाणपत्र चुकीची पुनरावृत्ती करू: वास्तविक विश्वास प्रश्न अनुत्तरीत ठेवताना, ओळख आणि अखंडतेबद्दल मजबूत हमी.
MCP मध्ये रनटाइम पडताळणी स्तर कसा दिसतो
निराकरण हे मॉडेल संदर्भ प्रोटोकॉल दरम्यान स्थित सत्यापन एजंट आहे (बहुपक्षीय सल्लागार प्रक्रिया) क्लायंट (एजंट) आणि MCP सर्व्हर (टूल). एजंट साधनाचा वापर करत असताना, एजंट प्रत्येक आवाहनावर तीन प्रमाणीकरण तपासणी करतो:
शोध बंधनकारक: एजंट सत्यापित करतो की ज्या टूलला म्हंटले जात आहे ते साधनाशी जुळते ज्याची वर्तणूक वैशिष्ट्ये एजंटने यापूर्वी मूल्यमापन केली आणि स्वीकारली आहेत. हे आमिष-आणि-स्विच हल्ले थांबवते, जेथे सर्व्हर शोध दरम्यान साधनांच्या एका संचाची जाहिरात करतो आणि नंतर आवाहनाच्या वेळी भिन्न साधने सादर करतो.
अंतिम बिंदूसाठी अनुमत सूची: एजंट टूलच्या अंमलबजावणीदरम्यान MCP सर्व्हरद्वारे उघडलेल्या आउटगोइंग नेटवर्क कनेक्शनचे निरीक्षण करतो आणि घोषित एंडपॉइंटच्या अनुमत सूचीशी त्यांची तुलना करतो. चलन परिवर्तक घोषित केले असल्यास api.exchangerate.host परवानगी असलेला एंडपॉईंट म्हणून पण अंमलबजावणी दरम्यान अघोषित एंडपॉईंटशी कनेक्ट होतो, टूल समाप्त केले जाते.
आउटपुट स्कीमा सत्यापित करा: एजंट घोषित आउटपुट स्कीमा विरुद्ध टूलच्या प्रतिसादाचे प्रमाणीकरण करतो, अनपेक्षित फील्ड किंवा तत्काळ इंजेक्शन पेलोडशी संबंधित डेटा पॅटर्न समाविष्ट करणारे प्रतिसाद ध्वजांकित करतो.
वर्तणुकीशी संबंधित वैशिष्ट्ये ही मुख्य नवीन आदिम आहेत ज्यामुळे हे शक्य होते. ही Android ॲपच्या परवानगी विधानासारखीच मशीन-वाचनीय घोषणा आहे, जी टूलच्या संपर्कांच्या बाह्य एंडपॉइंट्सचा तपशील देते, टूल कोणता डेटा वाचतो आणि लिहितो आणि कोणते साइड इफेक्ट्स तयार होतात. वर्तणूक तपशील टूलच्या स्वाक्षरी केलेल्या प्रमाणीकरणाचा भाग म्हणून येतात, ज्यामुळे ते छेडछाड-स्पष्ट आणि रनटाइमच्या वेळी पडताळण्यायोग्य बनते.
स्कीमा प्रमाणित करण्यासाठी आणि नेटवर्क कनेक्शनची तपासणी करण्यासाठी हलका एजंट प्रति आवाहन 10 मिलीसेकंदपेक्षा कमी जोडतो. संपूर्ण डेटा प्रवाह विश्लेषण अधिक ओव्हरहेड जोडते आणि उच्च-आश्वासन उपयोजनांसाठी अधिक योग्य आहे. परंतु प्रत्येक कॉल घोषित अंतिम बिंदूंच्या परवानगी दिलेल्या सूचीच्या विरूद्ध प्रमाणित करणे आवश्यक आहे.
प्रत्येक लेयर काय कॅप्चर करते आणि काय चुकते
|
हल्ला नमुना |
काय स्रोत पकडतो |
रनटाइममध्ये काय पडताळणी होते |
अवशिष्ट जोखीम |
|
साधनाची तोतयागिरी करणे |
प्रकाशकाची ओळख |
शोध हुक जोडल्याशिवाय काहीही नाही |
सुरक्षा तपासाशिवाय उच्च |
|
स्कीमा हाताळणी |
कोणीही नाही |
केवळ पॉलिसी पॅरामीटर्ससह अत्यधिक सामायिकरण |
मध्यस्थी |
|
वर्तणूक प्रवाह |
सही केल्यानंतर काहीच नाही |
एंडपॉइंट्स आणि आउटपुटचे निरीक्षण केले असल्यास मजबूत |
कमी-मध्यम |
|
इंजेक्शनचे वर्णन |
कोणीही नाही |
वर्णने स्वतंत्रपणे स्वच्छ केल्याशिवाय थोडेसे |
उच्च |
|
एक सकर्मक लेख कॉल करा |
कमकुवत |
बाह्य गंतव्ये प्रतिबंधित असल्यास आंशिक |
मध्यम उच्च |
कोणतेही स्तर स्वतःहून पुरेसे नाहीत. रनटाइमवर पडताळणीशिवाय स्त्रोत पोस्ट-डिप्लॉयमेंट हल्ले चुकवतो. आणि स्त्रोताशिवाय रनटाइम पडताळणीला तपासण्यासाठी कोणतीही बेसलाइन नाही. आर्किटेक्चरला दोन्हीची आवश्यकता असते.
विकसकाला ओव्हरक्लॉक न करता हे कसे रोल आउट करावे
तैनातीच्या वेळी अंतिम बिंदूंच्या अनुमत सूचीसह प्रारंभ करा. संरक्षित करण्यासाठी हा सर्वात मौल्यवान आणि सर्वात सोपा प्रकार आहे. सर्व साधने सिस्टीमच्या बाहेर त्यांच्या कनेक्शन बिंदूंची जाहिरात करतात. एजंट त्या विधानांची अंमलबजावणी करतो. नेटवर्क-अवेअर साइडकार व्यतिरिक्त कोणत्याही अतिरिक्त साधनांची आवश्यकता नाही.
पुढे, आउटपुट स्कीमामध्ये प्रमाणीकरण जोडा. प्रत्येक साधनाने नोंदवलेल्या सर्व मूल्यांशी तुलना करा. कोणतेही अनपेक्षित मूल्य परतावा ध्वजांकित करा. हे टूल प्रतिसादांमध्ये डेटा मायनिंग आणि हॉट इंजेक्शन पेलोड शोधते.
नंतर उच्च-जोखीम साधन श्रेणींसाठी शोध मॅपिंग प्रकाशित करा. क्रेडेन्शियल्सची प्रक्रिया, वैयक्तिकरित्या ओळखण्यायोग्य माहिती (PII), आणि आर्थिक माहिती प्रक्रिया साधनांची पूर्ण आमिष-आणि-स्विच छाननी झाली पाहिजे. इकोसिस्टम परिपक्व होईपर्यंत कमी जोखमीची साधने याला बायपास करू शकतात.
शेवटीसीजेव्हा खात्रीची पातळी किंमतीला न्याय्य ठरते तेव्हाच संपूर्ण वर्तणूक निरीक्षण वापरा. टायर्ड मॉडेल महत्वाचे आहे: सुरक्षा गुंतवणूक जोखमीच्या प्रमाणात असणे आवश्यक आहे.
जर तुम्ही एजंट वापरत असाल जे सेंट्रल रजिस्ट्रीमधून टूल्स निवडत असतील, तर किमान आजच एंडपॉइंट्सची परवानगी असलेली यादी जोडा. उर्वरित वर्तणूक तपशील आणि रनटाइम प्रमाणीकरण नंतर येऊ शकतात. परंतु तुमची प्रॉक्सी टूल पाइपलाइन सुरक्षित आहे याची खात्री करण्यासाठी तुम्ही पूर्णपणे स्रोत SLSA वर अवलंबून असाल, तर तुम्ही चुकीच्या अर्ध्या समस्येचे निराकरण करत आहात.
Nick Calle हे AI प्लॅटफॉर्म आणि एंटरप्राइझ सुरक्षेमध्ये तज्ञ असलेले प्रमुख अभियंता आहेत.
