Pomerium спонсировал этот пост.
Существует грязный мусорный огонь растягивающих, плохо контролируемых агентов искусственного интеллекта, которые собираются поразить вашу корпоративную сеть. В то время как стандарт нового протокола контекста модели (MCP) является захватывающим для стандартизации взаимодействия, к сожалению, часть контроля доступа спецификации напоминает запоздалую мысль (на самом деле!). Текущая предложенная модель контроля доступа в MCP в основном не соответствует скорости, масштабу и нетерминизму агента. Это не просто простые клиенты API; Они автономные актеры владеют делегированным человеческим авторитетом в машинном масштабе.
Чтобы быть справедливым, не совсем работа MCP определить полную модель авторизации. Но, оставив аутентификацию и разрешение вплоть перед отдельными исполнителями, протокол по своей природе создает децентрализованные решения о безопасности, рискуя обширной поверхностью атаки, которую трудно управлять и безопасно. Что еще более важно, этот подход обоходит десятилетия проверенных передовых практик: централизованное правоприменение, непрерывная оценка контекста и наименее привилегический доступ, основные принципы (держите свои глаза, пожалуйста) за эффективными архитектурами нулевого доверия.
Есть риски для развертывания мощных агентов ИИ — но есть и вещи, которые мы можем сделать, чтобы смягчить риски.
Почему старые правила не применяются
Системы управления доступом были разработаны для двух основных типов актеров:
Агентный доступ в основном отличается
Агент доступа сочетает в себе потенциально широкий объем доступа человека (действуя в различных системах, основанных на сложных подсказках естественного языка) с автоматизацией и скоростью доступа к обслуживанию. Критически, в нем часто не хватает как неотъемлемых осторожных людей, так и предсказуемого детерминизма четко определенных услуг. Агент ИИ, интерпретирующий подсказки, может действовать не снетерсинично, цепляясь по нескольким системам непредвиденными способами.
Поскольку любое кодирование курсора, кодирующее атмосферу, изучает брат, когда их код автономно и необъяснимо удаляется, агенты могут выполнять разрушительные действия, если нет достаточных гарантий. Вручение агента делегированным учетным данным пользователя и обращению с ним как к другому клиенту API игнорирует эту опасную триаду: Широкий объем + высокая скорость + непредсказуемая исполнениеПолем
Мы уже видели проблески рисков. Например, представьте, что агент предоставил доступ с помощью делегированных учетных данных для мониторинга API (например, Grafana), API инфраструктуры (Kubernetes, ваш облачный поставщик) и, возможно, даже контроль источника. Сложная оперативная инъекция или неверное толкование данных мониторинга могут обмануть агента полагать, что критическая система должна быть выведена из эксплуатации. Благодаря его унаследованным широким разрешениям он может автономно уменьшить развертывание, удалить объемы хранения или даже совершать вредоносный код — все это на основе ошибочных входов и статического, чрезмерно допустимого авторизации. Статический контроль доступа на основе ролей (RBAC) обеспечивает небольшую защиту от таких динамических, зависимых от контекста неудач.
Пробелы в авторизации MCP
MCP быстро появляется в качестве стандартного интерфейса для агентов искусственного интеллекта для взаимодействия с инструментами и источниками данных. Он определяет, как агенты могут вызывать действия (InvokeMethod), извлекать данные (Workspacedata) и т. Д., И обеспечивает столь необходимый общий язык для взаимодействия инструментов. Стандартизация необходима для совместимости.
Тем не менее, тщательное изучение спецификации MCP (по состоянию на V2025-03-26) выявляет значительные ограничения в отношении надежного, гранулированного разрешения-по существу, откладывает сложные проблемы:
Эти пробелы означают, что на MCP сама по себе нельзя полагаться на надежный, динамический авторизация, особенно когда агенты работают с мощными делегированными учетными данными пользователя. Опираясь исключительно на базовые возможности протокола или продвижение сложной логики авторизации в потенциально тысячи отдельных реализаций инструмента MCP, повторяет прошлые архитектурные ошибки и приглашают несоответствия и сбои безопасности.
Как смягчить риск из пробелов в авторизации MCP
Решение представляет собой централизованную точку применения, которая логически расположена перед услугами MCP для обеспечения соблюдения гранулированных политик авторизации. Этот подход необходим, потому что существующие, более грубые методы терпят неудачу:
- Авторизация на уровне сессии недостаточно: Утверждение доступа агента один раз в начале сеанса недостаточно, потому что контекст (например, статус пользователя, соблюдение устройства, обнаруженные риски, запрашиваемые конкретные действия) может резко измениться с одного запроса на другой. Непрерывная проверка необходима.
- Достижимость сети не является авторизацией: Создание безопасного сетевого подключения с использованием наложений или VPNS важно для достижения, но оно в основном отличается от авторизации. Тот факт, что агент может достичь конечной точки, не означает, что его следует разрешить выполнять конкретное, потенциально чувствительное действие по этой конечной точке. Значимое разрешение требует понимания контекста L7: что предпринимается, кем, при каких условиях.
Централизованный контекстный авторизация заполняет пробелы
Следовательно, решение заключается в шлюзе авторизации с учетом протокола. Этот шлюз должен выполнять критические функции по каждому отдельному запросу:
Современные шлюзы с учетом идентификации или прокси-контекстные доступа предназначены именно для этой роли. Они функционируют как решающий PEP, тесно интегрируясь с поставщиками идентификаций и используя различные контекстуальные сигналы, собранные для каждого запроса. Важно отметить, что они используют экспрессирующие политические двигатели — использующие такие языки, как REGO (используемый агентом Open Policy или OPA) или языком политики Pomerium (PPL) — позволяя организациям определять и обеспечивать соблюдение богатых правил условного доступа в центре, основываясь на полном контексте каждого действия.
Сценарий автоматизации инфраструктуры
Агент ИИ, «Inframanager», действующий от имени инженера по надежности на участке (SRE), получает высокопоставленное оповещение о насыщении ЦП на кассе в производстве и попытки масштабировать развертывание с помощью инструмента инфраструктуры с поддержкой MCP (InvokeMethod: масштабирование).
- А Ворота перехват запрос на масштабирование.
- Это извлекать контекст: Agent = ‘Inframanager’, user = ‘bob’ (sre, on-call), action = ‘scaledeployment’, target = ‘checkout-service (prod)’, trigger = ‘alertid-xyz’, time = ‘Внешние часы работы (19:34 Pdt)’. Это может обогатить это, проверив, действительно ли Боб на самом деле вызовет через данные Pagerduty, или подтвердив, что Alertid-Xyz является действительным, высокоэффективным оповещением от системы мониторинга.
- Это оценивает этот контекст с централизованной политикойПолем Разрешено ли «Inframanager» ScaledEployment ‘? Соответствует ли следствие запуска пороговых значений? Пользователь по вызову для этой службы? Учитывая его продувку и вне часа, разрешены или ограничены масштабирующие действия (например, позволяют масштабировать, но не отставать)?
- Основываясь на результате политики (например, все проверки проходят для автоматического масштабирования), шлюз либо либо пересылает запрос к инструменту инфраструктуры или возвращает отрицание (403 запрещено).
- Вся транзакция — данные запроса, извлеченный контекст, результаты оценки политики и решение о правоприменении — зарегистрировано Центрально для аудита.
Источник: Pomerium
Этот шаблон шлюза обеспечивает необходимый уровень непрерывной, контекстной проверки, которая отсутствует в самой MCP и неадекватно в более простых сетевых или сеансовых элементах управления. Это позволяет организациям использовать силу агентского доступа при сохранении гранулированного контроля на основе условий в реальном времени.
Контекст имеет решающее значение для агентов ИИ и политик доступа
Agentic Access обладает огромным потенциалом, но надежно развертывание требует развития наших ментальных моделей и технических реализаций. Полагаться на элементы управления на уровне сети, статический RBAC или исключительно текущие возможности базового разрешения в одном MCP, недостаточно.
Нам необходимо принять динамическое, контекстное разрешение, применяемое на основе приложения (L7). Это требует централизованных точек управления политикой и принуждения — шлюзов — которые глубоко понимают нюансы пользователя, устройства, агента, действий и контекста ресурсов.
Будущее принадлежит автономным агентам, но ваша старая модель авторизации этого не делает. Если мы не внедряем непрерывное, контекстно-ориентированное управление на правильный слой, мы настроим себя на болезненный урок: статические политики разрываются в динамических условиях. Агент доступа не приближается; Это здесь. Вопрос не в том, столкнется ли ваша модель авторизации этой реальностью — это выживет ли она первого контакта.
Pomerium-это прокси-платформа с нулевым доверием, идентификационную прокси-платформу, которая обеспечивает безопасные, без клиента подключения к веб-приложениям, базам данных и услугам без необходимости VPN на устройстве пользователя. Узнайте больше последних из Pomerium Trending Stories Youtube.com/thenewstack Tech, быстро движется, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Бобби Дезимоне искал уязвимости программного обеспечения с тех пор, как он мог ездить. Его первый стартап, Супелок, был приобретен BeaudTrust, где он оставался почти десять лет, работая в пространстве Пэм для BeyondTrust. Работа в Pam Space … Подробнее от Bobby Desimone
