WebMCP Araçları Aracılığıyla AI Ajanları Nasıl Ele Geçirilir? Chrome'dan Güvenlik Rehberi Siber Güvenlik

WebMCP Araçları Aracılığıyla AI Ajanları Nasıl Ele Geçirilir? Chrome'dan Güvenlik Rehberi

WebMCP, web sitelerine AI ajanları için araçlar sunar. Chrome'un yeni güvenlik rehberi, bu araçların nasıl saldırı vektörü haline gelebileceğini ve ko

WebMCP protokolünü web sitenize ekleyerek, ziyaret eden AI ajanlarına bir dizi adlandırılmış araç sunarsınız. Ancak bu araçlar, ajanları gönderen kişilere karşı kullanılabilir. Chrome'un geliştirici sitesi artık WebMCP için güvenlik rehberi sunuyor ve bu rehberin büyük bir kısmı, ajanları oluşturan şirketlerden ziyade araçları sunan web siteleri için yazılmış durumda. WebMCP ile sitenizi ajan dostu hale getirdiğinizde, aynı zamanda bir saldırı yüzeyi de açmış olursunuz ve bunu kapatmak sizin görevinizdir, ajanın değil.

İki yıldır, ajan hazırlığı konuşmaları erişim üzerineydi: Bir ajan içeriğinize ulaşabilir mi, sayfanızı okuyabilir mi, alışverişinizi tamamlayabilir mi? WebMCP ise, bir ajanın sitenizi işaretlemeden anlamasını ummaktan vazgeçip, ona adlandırılmış araçlar sunmaya başladığınız versiyon. Bu daha kullanışlı bir protokol ve ajan web'inin protokol katmanının gittiği yön. Aynı zamanda, bir ajan için anlaşılır olmak ile güvenli olmak artık aynı özellik olmaktan çıkıyor.

Chrome'un ajan güvenlik rehberi, iki saldırı vektörü tanımlıyor ve her ikisi de web sitesinin sunduğu araçlar aracılığıyla geliyor. İlki kötü niyetli manifest: 'Web siteleri, aracı ele geçirmek için tasarlanmış gizli talimatlar içeren araç tanımlarına sahip olabilir.' Bir aracın açıklaması, ajanın aracı nasıl kullanacağına karar vermek için okuduğu metindir, bu nedenle bir açıklama, ajanın asla uymaması gereken bir talimat taşıyabilir.

Önemli Gelişmeler

İkinci vektör ise çoğu web sitesinin karşılaşacağı ve kötü niyetli bir site gerektirmeyen vektör: Chrome buna kontamine çıktı diyor. 'Başka türlü güvenilir sitelerden gelen gerçek zamanlı araç yanıtları, üçüncü taraf verilerinin bir parçası olarak kötü niyetli talimatlar içerebilir.' Kendi sitenizdeki ürün incelemelerinizi, yorum zincirlerinizi, forum gönderilerinizi veya destek yanıtlarınızı döndüren bir araç, başkalarının yazdığı metinleri döndürüyor. Bu kişilerden biri bir incelemenin içine bir talimat yerleştirdiyse, meşru aracınız bunu ajanınıza sizden gelmiş gibi iletir. Yük, kendi kullanıcı tarafından oluşturulan içeriğinizdir ve siz onu davet ettiniz.

Bu, bir hata olmayan ve düzeltilmeyecek bir şey sayesinde çalışıyor: 'LLM'ler tüm metni, talimatları ve kullanıcı verilerini tek bir token dizisi olarak ele alır', bu nedenle model, sizin veri olarak kastettiğiniz kısmı, saldırganın komut olarak kastettiği kısımdan güvenilir bir şekilde ayıramaz. Bu nedenle Chrome, 'LLM'lerin olasılıksal doğası, modelin içinde güvenliği garanti etmeyi imkansız kılar' diyor. Bu, model içinde temiz bir düzeltmesi olmayan aynı prompt enjeksiyon sorunudur, şimdi bir protokol giydirilmiş halde. WebMCP, bu saldırıya, bilerek yayınladığınız araçlar aracılığıyla temiz ve yapılandırılmış bir iletim yolu sağlar.

Chrome'un rehberi, yükümlülüğü yalnızca ajana değil, web sitesine de koyuyor. Chrome'un araç güvenlik belgesi, araçları sunan kişiye yönelik bir cümleyle açılıyor: 'Araçlarınızı yalnızca güvendiğiniz kaynaklara sunun. Bu, özellikle araçlar kullanıcı verilerini yönettiğinde veya kullanıcıyı etkilediğinde önemlidir.' Bu cümle, aracı gönderen kişi için yazılmış. Yani sizin için. Savunmalar somut ve gönderdiğiniz araçlara eklediğiniz açıklamalar. untrustedContentHint, 'yükü açıkça güvenilmez olarak etiketler, sitenizin bütünlüğünü korumaya yardımcı olur ve ajana bu verinin yüksek inceleme gerektirdiği sinyalini verir.' Chrome ne zaman kullanılacağını söylüyor: 'Bir araç kullanıcı tarafından oluşturulan içerik veya harici kaynaklı veri döndürüyorsa, araca untrustedContentHint eklemeyi düşünün.' readOnlyHint, durumu değiştirmeyen bir aracı işaretler, bu da 'ajanın kullanıcı onayı isteme konusunda daha iyi kararlar almasını sağlar.' exposedTo, bir aracı güvendiğiniz kaynaklar dizisiyle kısıtlar ve kaydın kendisine yazılır: document.modelContext.registerTool({...}, { exposedTo: ['https://trusted.com'] })

Chrome ayrıca karakter bütçelerini de sınırlıyor: bir araç açıklaması 500 karakter, tek bir araç çıktısı yaklaşık 1.500 karakter. Ayrıca, bir eylemi gerçekleşmeden önce onaylamak için requestUserInteraction() yolu ekliyor. Bariz örneği ele alalım: bir alışveriş ajanına ürün incelemelerini sunan bir araç. Bunu güvence altına almak egzotik bir iş değil: çıktısını untrustedContentHint ile işaretleyin, okuduğu için readOnlyHint ayarlayın ve exposedTo'yu gerçekten hizmet verdiğiniz kaynaklarla sınırlayın. Bunların hiçbiri ajanın işi değil. Araç yazarının işi, ki çoğu ekipte bu, tehdit modellerini okuyan güvenlikçiler değil, WebMCP'yi güncel görünmek için ekleyen web, CRO veya pazarlama kişileridir. İşte bu boşluk, işlerin yanlış gittiği yer. Hangi içeriğinizin veri olduğunu ve hangisinin komut olmadığını işaretlemek, artık bir aracı yayınlamanın bir parçası, tıpkı girdiyi temizlemenin bir form yayınlamanın parçası haline gelmesi gibi.

Gelecekte Ne Bekleniyor?

WebMCP'yi benimseyin, ancak önce her aracı tehdit modelleyin. Bir ajana açık, çağrılabilir araçlar sunmak, onun sitenizi DOM'dan tahmin etmesini sağlamaktan daha iyidir ve bu yeteneğe sahip olmaya değer. Bunların hiçbiri WebMCP'den kaçınmak için bir neden değil. Mesele daha dar ve daha sıkıcı: yetenek bir faturayla gelir ve fatura size aittir. Dolayısıyla çizgi basit. Bir aracı, genel bir API uç noktasını tehdit modelleyeceğiniz gibi tehdit modellemeden bir ajana sunmayın. Kaydedeceğiniz her araç için, yayınlamadan önce şu soruyu yanıtlayın: Bu araç hangi güvenilmeyen içeriği döndürebilir ve bunu işaretlediniz mi? Bunu yanıtlayamıyorsanız, araç hazır değildir, sitenizin geri kalanı ne kadar ajan hazır görünse de. WebMCP erken aşamada. Bir Chrome kaynak denemesinde, spesifikasyon hala hareket ediyor ve çoğu web sitesi henüz tek bir araç sunmadı. Bu, ajan güvenliğini ajan hazırlığının bir parçası olarak belirleme penceresidir; gönderdiğiniz ilk aracın, ajanınıza incelemelerinizi ve içlerinde saklanan herhangi bir şeyi sunan araç olduğu ortaya çıkmadan önce.

Kaynak: searchenginejournal.com

Paylaş: