VPC Service Controls 新增智能体AI保护功能
当企业开始把自主AI袋里大规模投入生产环境时,安全创新就成了一个绕不开的关键命题。AI袋里需要跨工具和数据集协同工作,建立清晰的网络级边界,才能为数据提供全面的保护,这是基础中的基础。 为了让组织能够更放心地部署这些工作流,我们推荐使用VPC Service Controls(VPC-SC)来构建一
当企业开始把自主AI袋里大规模投入生产环境时,安全创新就成了一个绕不开的关键命题。AI袋里需要跨工具和数据集协同工作,建立清晰的网络级边界,才能为数据提供全面的保护,这是基础中的基础。
为了让组织能够更放心地部署这些工作流,我们推荐使用VPC Service Controls(VPC-SC)来构建一个基于目的地的网络级安全边界。今天,我们正式宣布一系列针对AI袋里工作负载的新能力。
VPC Service Controls作为一道边界,可以在袋里被攻破时阻止数据外泄尝试,即使袋里拥有有效的IAM凭证也无济于事。
来源:https://www.bestblogs.dev/article/e7bfce1a?utm_source=rss&utm_medium=feed&utm_campaign=resources&entry=rss_article_item
VPC Service Controls 的全新升级
这次我们发布的更新,核心目标就是强化AI安全领域的边界管控。具体来说,新能力体现在三个方面: **1. 袋里身份识别与基于方向的规则** 实现最小权限访问,关键在于把袋里视为一等身份。现在,你可以直接在服务边界ingress和egress规则中,使用标准的IAM主体来添加袋里身份。一个主体对应一个独立的袋里,而principalSet则对应一组袋里。通过PrincipalSets,管理员可以对整个袋里集群执行一致、可审计的访问策略。一旦某个袋里被攻破,你可以立即在网络层撤销它的访问权限。 **2. 基于MCP属性的精细控制** 随着模型上下文协议(MCP)成为AI袋里系统的标准集成层,在工具层面执行策略变得至关重要。VPC-SC现在支持基于特定MCP属性的条件访问规则,包括mcp.toolName、mcp.method和mcp.tool.isReadOnly。举个例子,你可以让一个袋里对Workspace MCP服务器拥有只读权限,但明确禁止它发送邮件。 **3. 对Gemini Enterprise Agent平台的原生保护** Gemini Enterprise Agent平台为生产级袋里部署提供了完整的底层支撑。现在,VPC-SC与该平台实现了原生集成。当你将Agent平台作为受保护服务加入VPC-SC边界后,系统会自动阻止所有对Agent平台实例的公共互联网访问——无需额外配置,安全边界即可生效。 “在Mercado Libre,VPC Service Controls是我们安全架构的基础层。通过在整个组织范围内,围绕数百个Google Cloud项目构建强边界执行,我们借助VPC-SC建立了稳固的网络级安全控制,确保所有数据在云环境中得到保护。”——Mercado Libre项目负责人Juan Pablo Boschi构建分层AI安全体系:VPC-SC的定位
保护自主AI袋里,需要的是分层防御。身份控制、网络控制和资源控制,各自针对不同的威胁面。 * **身份控制**:IAM和Principal Access Boundaries(PAB)聚焦的是“谁”可以访问哪些资源。通过为袋里身份严格执行最小权限原则,确保自主工作负载只拥有完成任务所必需的权限。 * **网络控制**:下一代网络防火墙和VPC-SC,在基础设施之上定义了一个强健的数据边界,管控信息跨边界流动,防止数据外泄。 * **资源控制**:组织策略及其他资源级约束,则设定了资源如何配置和使用的宽泛、不可变更的底线,默认阻止危险配置。 身份和网络控制有效守住了“前门”,而VPC-SC则提供了一种基于目的地的关键防线。在自主AI袋里这个充满概率的世界里,VPC-SC控制的核心,除了“谁”(who)在操作,更关注袋里网络和操作过程中的“如何”(how)与“在哪里”(where)。应对AI袋里特有的攻击向量
与传统的应用逻辑不同,AI袋里的输入可能会在不知不觉中触发它执行一个本不该执行的指令。如果袋里被成功攻破——无论是通过恶意提示、工具操纵还是内部人员的恶意指令——VPC Service Controls就成了网络安全的最后一张底牌。 为了说明这张网络边界如何防御OWASP LLM应用Top 10清单中列出的行业标准风险,这里举三个真实威胁场景,看看VPC-SC如何补充身份控制,防止数据外泄。 * **通过间接提示注入进行外泄(OWASP ASI01)**:攻击者可以尝试嵌入一个隐藏提示,要求袋里总结内部数据并发送给未授权的用户。如果被劫持的袋里拥有IAM权限,IAM本身可能不会检测到异常。但当袋里试图向外部webhook发送数据时,VPC-SC会阻止该API层的传输,因为目标地址在定义的安全边界之外。 * **防止工具误用(OWASP ASI02, ASI08)**:提示劫持可能导致袋里恶意串联工具,比如将内部目录数据发送到外部服务。通过在敏感资产周围强制执行VPC-SC边界,可以防止行为异常的袋里在隔离的信任域之间传输数据。 * **中和内部威胁(OWASP AS103)**:攻击者可以命令数据处理袋里,直接从BigQuery数据集执行云到云的复制操作,将数据复制到未经授权的项目。网络防火墙看到的是合法的HTTPS流量流向BigQuery,IAM看到的是经过授权的服务账号,而VPC-SC则会评估目标资源。由于目标项目在企业边界之外,系统会立即拒绝该API请求。
VPC Service Controls作为一道边界,可以在袋里被攻破时阻止数据外泄尝试,即使袋里拥有有效的IAM凭证也无济于事。
自主AI袋里时代的数据保护新逻辑
回顾安全演进的历程,边界安全已经从以确定性应用为中心的推荐实践,进化到了自主AI袋里时代不可回避的绝对要求。VPC-SC提供了对数据移动的必要控制,而这正是IAM无法单独解决的。 在这个袋里将提示当作代码来解读的时代,VPC-SC已成为保护企业数据的强制性安全网。将IAM的映射能力与VPC-SC的刚性数据边界相结合,组织可以在安全构建袋里创新的同时,牢牢守住防止数据外泄的底线。
热点追踪提示词
你是一名 AI 行业编辑,请围绕下面这条热点输出一份资讯解读:
热点:VPC Service Controls 新增智能体AI保护功能要求:
1. 先用一句话解释这条热点在讲什么
2. 再总结它为什么重要
3. 说明会影响哪些 AI 产品或内容方向
4. 最后给出 3 个适合资讯站使用的标题
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
相关热点AI热点2026-07-03 20:42
AI驱动的员工英语口语教练Lucida
LucidaAI是一款面向企业的AI英语口语教练,通过实时对话提供发音、语法、词汇和流利度的个性化反馈。采用端到端加密并支持合规定制,定价策略注重普及化,旨在以低成本提升团队英语沟通能力。
AI热点2026-07-03 20:42
Screenshot2Code:截图转代码工具
Screenshot2Code工具能够从截图中自动识别代码,并将其转换为可直接运行的代码。支持Python、HTML及API接口信息提取,帮助开发者快速复用他人分享的代码片段,从而显著提升工作效率。这个工具极大简化了代码复用过程。
AI热点2026-07-03 20:42
SpeakStruct 语音转结构化数据 可自定义模板
SpeakStruct通过可自定义模板将语音转换为结构化数据,适用于会议记录、客户通话等场景。核心功能包括自定义模板、准确转录和随处捕捉,使口语信息直接转化为可用的数据资产。
AI热点2026-07-03 20:41
AI驱动语音治疗应用 IzzyAI
IzzyAI是一款AI驱动的语音治疗应用,提供全天候服务。通过智能治疗师头像互动,系统评估并治疗五种常见语音语言障碍,融合语音与面部识别技术给予实时反馈。内置综合评估、个性化练习、进展报告及支持性社区,提升治疗效果。
- 日榜
- 周榜
- 月榜
热点快看
