AWS Cedar: Захист від зловживань у багатосегментних AI-системах
Інженери-програмісти, які впроваджують багатосегментні архітектури штучного інтелекту, стикаються з унікальною вразливістю авторизації. Це з’являється, коли автономні агенти делегують завдання через багатоступеневі ланцюги. Між учасниками таких архітектур може виникати серйозна загроза — ASI03: Identity & Privilege Abuse, яка увійшла до OWASP Top 10 для агентикових застосунків.
Без чітких меж агент може виконувати команди, які виходять за рамки початкового авторизованого користувачем обсягу дій. Традиційні політики контролю доступу на основі ролей не можуть зберегти контекст під час автоматизованих переходів, оскільки суб’єктом дій стає машина, а не людина.
Cedar: Нова трирівнева модель політики
Для вирішення цієї проблеми необхідно впровадити трирівневу модель політики, використовуючи мову авторизації Cedar на Amazon Web Services. Ця архітектура перехоплює трафік, встановлює абсолютні межі навколо кожного виклику інструменту та зупиняє виконання до того, як неперевірена команда дійде до даних у продакшені.
Встановлення криптографічних меж токенів
Продакшен-розгортання вимагають суворого розділення між встановленням особи та оцінкою політики. Надійний постачальник ідентифікації, наприклад, Amazon Cognito з багатофакторною автентифікацією, спочатку верифікує початкового користувача. Постачальник ідентифікації видає підписаний JSON Web Token з відповідними заявами, такими як роль користувача, методи автентифікації та ідентифікатори сесій.
За допомогою Model Context Protocol (MCP) клієнта, людський користувач передає цей токен та запит на завдання початковому AI-агенту. Вся система опирається виключно на постачальника ідентифікації, не довіряючи жодним заявам користувача без криптографічного підтвердження.
Виконання трирівневого оцінювання Cedar
Механізм виконання повністю знаходиться всередині функції оцінки політики Cedar у Lambda. Функція витягує запитувані політики з Amazon Verified Permissions і по черзі оцінює три незалежні рівні авторизації, зупиняючи виконання при першій “відмові”.
Перший рівень обмежує виклики агентів до інструментів. Політика вимагає, щоб контактуючий агент мав перевірений довірчий запас, належав до правильного простору і функціонував у межах продакшн середовища.
Другий рівень контролює глибину делегації агентів і здатність обмежувати неконтрольовані цикли виконання. Система запобігає спробам запиту дій, що порушують зафіксовані межі, зупиняючи виконання.
Третій останній рівень зберігає контекст користувача, повертаючи його до початкового ресурсу. Для доступу до інструментів високого ризику, таких як видалення записів бази даних, потрібно, щоб ініціативне запит на видалення мав підтверджену багатофакторну автентифікацію.
Дотримання аудиту та централізоване управління
Команди впроваджують спостережливість за всім процесом оцінювання через стандартизовані та безперервні події аудиту. Запис у логах у Amazon CloudWatch збереже дані кожного рішення про доступ, забезпечуючи, що жодні дані аудиту не будуть втрачені під час пікових навантажень.
Організації, що масштабують ці архітектури, можуть встановити зручні міри для запобігання ризику ASI03: Identity & Privilege Abuse. Cedar допомагає забезпечити безпеку під час складних делегацій між машинами.



