Adja hozzá a WebMCP-t webhelyéhez, és a felkereső mesterségesintelligencia-ügynökök egy sor nevű eszközt hívjanak meg. Ugyanezekkel az eszközökkel lehet az ügynököket azokkal szemben fordítani, akik küldték őket. A Chrome fejlesztői webhelye mostantól tartalmazza a WebMCP biztonsági útmutatásait, és ezek nagy része az eszközöket felfedő webhelyekre íródott, nem pedig az ügynököket építő cégekre. WebMCP-vel tedd ügynökkészsé a webhelyedet, és egy támadási felületet is nyitottál, és annak bezárása a te dolgod, nem az ügynöké.
Két éve az ügynök-készültségről szóló beszélgetés a hozzáférésről szól: El tudja érni az ügynök a tartalmat, elolvashatja az oldalát, befejezheti-e a fizetést? A WebMCP az a verzió, ahol nem reméli, hogy egy ügynök kitalálja a webhelyet a jelölésből, és elkezdi a híváshoz elnevezett eszközöket adni neki. Ez a hasznosabb protokoll, és ebben az irányban mozog az ügynöki web protokollrétege. Az is, hogy az ügynök számára olvasható és az ügynök számára biztonságosság megszűnik ugyanazon tulajdonként.
A Chrome nevű kétféle ügynököt eltérítik a WebMCP-n keresztül
A Chrome ügynök-biztonsági útmutatója két támadási vektort ír le, és mindkettő a webhely által elérhető eszközökön keresztül érkezik. Az első a rosszindulatú manifeszt. A Chrome szavaival élve: „A webhelyeken rejtett utasításokat tartalmazó eszközdefiníciók lehetnek, az eszköznevekben, paraméterekben vagy leírásokban, amelyek célja az ügynök eltérítése.” Az eszköz leírása olyan szöveg, amelyet az ügynök elolvas, hogy eldöntse, hogyan használja az eszközt, így a leírás tartalmazhat olyan utasítást, amelyet az ügynöknek soha nem kellett követnie.
A második vektor az, amelyet a legtöbb webhely ténylegesen elér, és nincs szüksége rosszindulatú webhelyre. A Chrome ezt szennyezett kimenetnek nevezi: „Az egyébként megbízható webhelyekről érkező valós idejű eszközök válaszai rosszindulatú utasításokat tartalmazhatnak harmadik felek adatainak részeként, például felhasználói megjegyzésekként.” A saját webhelyén található eszköz, amely visszaküldi termékismertetőit, megjegyzésszálait, fórumbejegyzéseit vagy támogatási válaszait, mások által írt szövegeket ad vissza. Ha az egyik ilyen ember utasítást helyezett el egy véleménybe, akkor az Ön jogos eszköze úgy adta át az ügynöknek, mintha Öntől származna. A hasznos teher az Ön saját, felhasználó által generált tartalma, és Ön hívta meg.
Ez valami miatt működik, ami nem hiba, és nem lesz javítva. „Az LLM-ek minden szöveget, utasítást és felhasználói adatot egyetlen tokenek sorozatként kezelnek” – mondja az útmutató, így a modell nem tudja megbízhatóan elválasztani az Ön által adatnak szánt részt a támadó által parancsnak szánt résztől. Ezért mondja a Chrome, hogy „az LLM-ek valószínűségi természete lehetetlenné teszi magában a modellben a biztonság garantálását”. Ez ugyanaz az azonnali befecskendezési probléma, amelynek nincs tiszta javítása a modellen belül, most már protokollt visel. A WebMCP tiszta, strukturált kézbesítési útvonalat biztosít a támadásnak a szándékosan közzétett eszközökön keresztül.
Egy webhelyügynök-készsé tételhez hozzátartozik az ügynökök számára biztonságossá tétel is
A Chrome útmutatása nem csak az ügynökre, hanem a webhelyre is kötelezi. A Chrome eszközbiztonsági dokumentuma egy sorral kezdődik, amely egyenesen arra irányul, aki az eszközöket nyilvánosságra hozza: „Csak olyan eredetnek tegye ki eszközeit, amelyben megbízik. Ez különösen fontos, ha az eszközök kezelik a felhasználói adatokat, vagy más módon hatnak a felhasználóra.” Ez a sor annak van írva, aki a szerszámot szállítja. Ez azt jelenti, hogy téged.
A védelmek konkrétak, és olyan megjegyzések, amelyeket a szállított eszközökhöz csatol. untrustedContentHint „kifejezetten megbízhatatlanként jelöli meg a rakományt, hogy segítsen megvédeni webhelye integritását, miközben jelzi az ügynöknek, hogy ezek az adatok fokozott ellenőrzést igényelnek”, a Chrome pedig megmondja, mikor érdemes használni: „Ha egy eszköz felhasználó által generált tartalmat (UGC) vagy külső forrásból származó adatokat ad vissza, fontolja meg a untrustedContentHint hozzáadását az eszközhöz.” readOnlyHint egy olyan eszközt jelöl, amely nem változtatja meg az állapotot, és „lehetővé teszi az ügynök számára, hogy jobb döntéseket hozzon arról, mikor kérjen felhasználói megerősítést”. exposedTo korlátozza az eszközt a megbízható források tömbjére, amely magában a regisztrációban van beírva:
document.modelContext.registerTool({...}, {
exposedTo: ['https://trusted.com']
});
A Chrome a karakterköltségkeretet is korlátozza, az eszközleírás 500 karakter, az egyetlen eszköz kimenete pedig nagyjából 1500, és hozzáad egy requestUserInteraction() útvonal a művelet megerősítéséhez az aktiválás előtt. Vegyük a kézenfekvő példát, egy olyan eszközt, amely termékértékeléseket tesz közzé egy bevásárló ügynök számára. Biztosítása nem egzotikus munka: jelölje meg a kimenetét untrustedContentHintkészlet readOnlyHint mert inkább olvas, mint vásárol, és korlátozza exposedTo az eredethez, amelyet valójában szolgálsz. Ezek egyike sem az ügynök feladata. Ez az eszköz készítőjének feladata, amely a legtöbb csapatnál a web, a CRO vagy a marketingesek, akik a WebMCP-t adják hozzá, hogy aktuálisnak tűnjenek, nem pedig a biztonsági emberek, akik a fenyegetési modelleket olvassák. Ez a szakadék az, ahol ez elromlik. Annak megjelölése, hogy melyik tartalom adat, és nem parancs, ma már az eszköz szállításának részét képezi, ahogyan a bemenet megtisztítása az űrlap szállításának részévé vált.
Használja a WebMCP-t, de először minden eszközt fenyeget
Ha egy ügynöknek explicit, hívható eszközöket ad át, akkor a DOM-ból kitalálja az Ön webhelyét, és a képességgel érdemes rendelkezni. Mindezek egyike sem ok a WebMCP elkerülésére. A lényeg szűkebb és unalmasabb, mint az „új protokoll, új veszély”: a képesség számlával érkezik, és a számla a tiéd.
Tehát a vonal egyszerű. Ne tegye ki az eszközt olyan ügynöknek, amelyet nem fenyegetés-modellezett úgy, ahogyan egy nyilvános API-végpontot fenyegetés-modellezne. Minden regisztrálni kívánt eszköznél válaszoljon egy kérdésre, mielőtt kiszállításra kerül: Milyen nem megbízható tartalmat adhat ez vissza, és megjelölte-e? Ha erre nem tud válaszolni, akkor az eszköz még nem áll készen, de a webhely többi része ügynökkésznek tűnik.
A WebMCP korai. A Chrome eredeti próbaverziója alatt áll, a specifikáció még mindig változik, és a legtöbb webhely egyetlen eszközt sem tett közzé. Ez az az ablak, amelyen el kell dönteni, hogy az ügynök-biztonság része az ügynök-readynak, mielőtt kiderül, hogy az első szállított eszköz az, amely átadja az ügynöknek az Ön véleményeit és bármit, amit valaki elrejtett benne.
Ez a bejegyzés eredetileg a No Hacks oldalon jelent meg.
