Тъй като AI агентите се развиват в корпоративни среди – от разговорни асистенти до автономни изпълнители – техният достъп до облачни API, бази данни и отдалечени системи се разшири значително, което поражда нарастващи опасения относно сигурността на идентификационните данни.
В отговор Tencent Cloud представи ново решение „Key Sandbox“, предназначено да адресира тези рискове на архитектурно ниво. Основният принцип е прост: AI агентите получават разрешения, но никога не обработват или съхраняват директно чувствителни идентификационни данни.
Съгласно тази рамка всички тайни – включително съхранение, разпространение, използване и унищожаване – се управляват изцяло от системата sandbox. Агентите могат да изпълняват извиквания на облачен API, без изобщо да осъществяват директен достъп до ключове, като всяко действие може да бъде напълно проверено. Администраторите могат също динамично да коригират границите на възможностите на всеки агент.
Според екипа по сигурността на Tencent Cloud традиционните модели, при които агентите директно притежават идентификационни данни, излагат четири основни риска:
- Атаките с бързо инжектиране могат да подмамят агентите да изтекат чувствителна информация;
- Злоупотребата с идентификационни данни може да доведе до неоторизирани операции поради халюцинации на модела или злонамерени инструкции;
- Разрастването на идентификационните данни става неуправляемо, когато множество агенти копират и споделят едни и същи ключове;
- Пропуските в одита затрудняват проследяването кой агент е извършил конкретни действия.
С нарастването на броя на агентите тези рискове нарастват експоненциално. Key Sandbox въвежда прозрачен, но здрав изолационен слой, позволяващ на агентите да „знаят какви инструменти могат да използват“, без изобщо да имат достъп до основните идентификационни данни.
Ключови случаи на употреба
- Сигурни облачни операции: Агентите могат да взаимодействат с услуги като KMS и CVM, без да разкриват SecretId или SecretKey.
- Автоматизация на бази данни: Идентификационните данни се криптират и управляват в пясъчната среда, което позволява безопасни операции с бази данни като MySQL и PostgreSQL без изтичане на низове за връзка.
- Защитени дистанционни операции: SSH ключовете и идентификационните данни за вход се поставят в пясъчна среда и се унищожават автоматично след изпълнение на предварително дефинирани набори от команди.
- Унифицирано управление на идентификационни данни: Поддържа интеграция в множество облачни платформи и услуги на трети страни за централизирано управление на идентификационни данни.
- Интегриране на API на трети страни: Ключовете за удостоверяване се съхраняват сигурно и се сменят автоматично, за да се минимизират рисковете от изтичане.
Tencent Cloud подчерта три основни предимства на Key Sandbox: сигурност и надеждност, съответствие и възможност за проверка и отворена съвместимост. Системата използва шестслойна защитна архитектура, за да гарантира нулево директно излагане на ключове, поддържа пълни регистрационни файлове за одит на жизнения цикъл за съответствие с нормативните изисквания и е отворена за интегриране с външни платформи за изграждане на по-широка екосистема за сигурност на AI агент.
Източник: IT Home
Source link
Like this:
Like Loading…
Нашия източник е Българо-Китайска Търговско-промишлена палaта