GCP推出代理型AI的边界防护新功能
Google Cloud宣布为VPC Service Controls新增面向代理型AI工作负载的能力,包括基于代理身份的定向规则、基于MCP属性的细粒度访问控制,以及与Gemini Enterprise Agent Platform的原生集成。这些功能在网络层面建立边界,防止被攻陷的AI代理泄露数据,应对OWASP Top 10 LLM威胁。
随着企业将自主AI代理大规模投入生产环境,确保安全创新需要强大的架构防护。AI代理连接多个工具和数据集,因此建立清晰的网络级边界对于全面数据保护至关重要。Google Cloud的VPC Service Controls(VPC-SC)正是为此设计的网络级目的地边界,今天宣布了多项针对代理工作负载的新功能。
新能力包括:第一,在方向性规则中引入代理身份——现在可以将代理身份作为IAM主体直接加入服务周边的入站和出站规则。单个主体映射到单个代理,而主体集合适用于整个代理群体,便于管理员应用一致且可审计的访问策略。一旦代理被攻陷,可在网络边界立即撤销其访问权限。第二,基于模型上下文协议(MCP)属性的细粒度控制——MCP已成为代理系统的标准集成层,VPC-SC现在支持基于mcp.toolName、mcp.method和mcp.tool.isReadOnly等属性的条件访问规则。例如,可授权代理对Workspace MCP服务器进行只读访问,同时明确禁止其发送邮件。第三,与Gemini Enterprise Agent Platform原生集成——将Agent Platform作为受保护服务包含在VPC-SC周边内时,系统自动阻止对该实例的所有公共互联网访问,无需额外配置。
“在Mercado Libre,VPC Service Controls是我们安全架构的基本层。通过在我们的数百个Google Cloud项目中建立强大的边界执行,我们确立了稳健的网络级安全控制,确保所有数据在云环境中得到保护。”Mercado Libre项目负责人Juan Pablo Boschi表示。
保护自主AI代理需要分层方法:身份控制(IAM和主体访问边界)关注“谁”能访问资源;网络控制(下一代防火墙和VPC-SC)在基础设施之上定义数据边界,防止数据泄露;资源控制(组织策略)设置不可变的资源配置约束。关于这类控制中,VPC-SC提供关键的目的地防御,在概率性的自主代理世界中关注代理操作的“如何”和“何处”。
与传统应用不同,AI代理的输入可能无意中促使其执行意外命令。如果代理被成功攻陷(无论是由恶意提示、工具操纵还是恶意内部指令),VPC-SC充当关键的网络安全网。结合OWASP LLM应用Top 10风险,文中通过三个实例说明VPC-SC如何防止数据泄露:针对间接提示注入(OWASP ASI01),被劫持的代理试图将数据发送到外部webhook时,VPC-SC会阻止API层传输;针对工具滥用(OWASP ASI02、ASI08),边界防止错误行为的代理跨隔离信任区域桥接数据;针对内部威胁(OWASP AS103),即使攻击者利用合法凭证试图跨项目复制数据,VPC-SC会因目标项目不在企业周边内而拒绝请求。
边界安全已从确定性应用时代的推荐最佳实践演变为自主AI代理时代的绝对要求。VPC-SC提供了IAM无法单独解决的数据移动控制。在代理将提示视为代码的时代,VPC-SC成为企业数据必不可少的安全网。将IAM的映射能力与VPC-SC的刚性数据边界相结合,组织可以在维持防止数据泄露的绝对护栏的同时,安全地构建代理创新。