« Tüm yayınlar

AI Ajanlarında Güvenlik Kararı Araç Çağrısında Alınmalı

MCP tabanlı AI ajanlarında gerçek güvenlik, bağlantı kurulumunda değil araç çağrısının çalışma zamanı denetiminde sağlanır; HCP çalışması bunu somut örnekliyor.

MCP tabanlı ajan mimarilerinde asıl risk bir kaynağa bağlanmayı kurmak değil, kurulan bağlantının her araç çağrısında nasıl denetlendiğidir. HCP makalesi bunun için sekiz çalışma zamanı invariant'ı tanımlıyor: metadata'nın yetki taşımaması, grant'a dayalı onay, kanonik kaynak çözümü, principal bağlama, kapsamlı yetenek çağrısı, veri akışı yetkilendirmesi, reddedilen işlemlerin denetlenebilirliği ve açık protokol durumu. Bunlar soyut ilkeler değil, bir CRM kaydını güncelleme gibi somut ajan eylemleri için asgari güvenlik koşulu olarak sunuluyor.

Onay diyaloglarının çoğu zaman çok erken tetiklendiği vurgulanıyor: bir modelin eylem önerisine onay vermekle, kaynaklar, politika ve araç durumu netleştikten sonra onay vermek aynı şey değil. Ajanlar araçları keşfediyor, metadata okuyor, bir aracın çıktısını diğerinin girdisine aktarıyor ve öğrenilmiş döngüleri tekrar çalıştırıyor; bu yüzden gerçek denetim noktası hem çağrı öncesi hem onay sonrası çalışma zamanına yerleşmeli. HCP benchmark testinde, naif bir mimari on saldırının tamamına açıkken, pratik önlemler bunların altısını engelliyor; HCP yaklaşımı ise onunu da engelleyip eksiksiz denetim kaydı üretebiliyor.

Araç metadata'sı tanımlayıcıdır ama yetki kaynağı değildir; çalışma zamanının sağlayıcıdan kanonik kaynağı sorgulaması ve bunu principal'ın grant'larıyla karşılaştırması gerekiyor. Ajanların bir araçtan diğerine taşıdığı arama sonuçları, transkript parçaları veya veritabanı satırları gibi çıktılar da sahiplik, veri sınıfı ve downstream akış kontrolüyle birer 'handle' olarak ele alınmalı; Anthropic'in Google Drive-Salesforce entegrasyon örneği token maliyetini büyük ölçüde düşürürken bu güvenlik yükünü çalışma zamanına taşıdığını gösteriyor. Kod çalıştırmanın yaygınlaşması bu eğilimi güçlendiriyor; CE-MCP çalışması on altı farklı saldırı sınıfı tanımlarken, LangChain'in sandbox-as-tool deseni kimlik bilgilerini ve yürütme durumunu ajan durumundan ayırarak bu riski yönetmeye çalışıyor.