ACL & Lethal Trifecta
Access Control Levels y el modelo de amenazas de tres capacidades que Edison Watch aplica contra la exfiltración de datos por inyección de prompts.
Edison Watch previene la exfiltración de datos detectando y bloqueando la combinación de capacidades necesarias para un ataque.
La Amenaza: Inyección de Prompts
Los agentes de IA son vulnerables a la inyección de prompts: instrucciones maliciosas ocultas en contenido externo (como una página web o un archivo) que manipulan a la IA para que exfiltre datos sensibles.
El Lethal Trifecta
La exfiltración requiere tres capacidades. Edison Watch las rastrea a través de indicadores monotónicos por sesión:
| Capacidad | Indicador de Seguridad | Acción |
|---|---|---|
| Acceso a Datos Privados | read_private_data | La IA lee archivos internos, bases de datos o documentos. |
| Contenido No Confiable | read_untrusted_public_data | La IA obtiene datos de internet. |
| Comunicación Externa | write_operation | La IA envía datos al exterior (Slack, Email, APIs). |
Lógica de Aplicación: Si una sesión ha accedido tanto a Datos Privados COMO a Contenido No Confiable, cualquier Comunicación Externa posterior se pausa para aprobación humana.
Estado de la Sesión
El estado se rastrea en el servidor de Edison y es monotónico: una vez que se establece un indicador (p. ej. se accedió a Datos Privados), no puede desactivarse para esa sesión. Esto previene ataques de "reseteo".
Access Control Levels (ACL)
Los ACL previenen que los datos sensibles fluyan a destinos de menor sensibilidad, independientemente del estado del Trifecta.
| Nivel | Regla |
|---|---|
| PUBLIC | Puede fluir a cualquier parte. |
| PRIVATE | No puede fluir a PUBLIC. |
| SECRET | No puede fluir a PRIVATE ni a PUBLIC. |
Ejemplo: Si un agente lee una base de datos marcada como SECRET, se le bloquea inmediatamente para que no pueda publicar en un canal de Slack PUBLIC.