ACL & Lethal Trifecta
Access Control Levels と、Edison Watch がプロンプトインジェクションによるデータ漏洩から守るために適用する 3 つの能力脅威モデル。
Edison Watch は、攻撃に必要な能力の組み合わせを検出してブロックすることで、データ漏洩を防ぎます。
脅威: プロンプトインジェクション
AI エージェントはプロンプトインジェクションに対して脆弱です - これは、外部コンテンツ (ウェブページやファイルなど) に隠された悪意のある指示で、AI を操作して機密データを流出させようとします。
Lethal Trifecta
データ漏洩には 3 つの能力が必要です。Edison Watch は、セッションごとの単調なフラグでこれらを追跡します。
| 能力 | セキュリティフラグ | アクション |
|---|---|---|
| Private Data Access | read_private_data | AI が内部ファイル、DB、またはドキュメントを読み取る。 |
| Untrusted Content | read_untrusted_public_data | AI がインターネットからデータを取得する。 |
| External Communication | write_operation | AI がデータを外部に送信する (Slack、Email、API)。 |
適用ロジック: セッションで Private Data と Untrusted Content の両方にアクセスがあった場合、それに続く External Communication はすべて人による承認のため一時停止されます。
セッション状態
状態は Edison サーバーで追跡され、単調 です。一度フラグが設定されると (例: Private Data アクセス)、そのセッションでは解除できません。これにより "リセット" 攻撃を防ぎます。
Access Control Levels (ACL)
ACL は、Trifecta の状態に関係なく、機密データがより低い機密度の宛先に流れるのを防ぎます。
| レベル | ルール |
|---|---|
| PUBLIC | どこにでも流れることができます。 |
| PRIVATE | PUBLIC には流れません。 |
| SECRET | PRIVATE や PUBLIC には流れません。 |
例: エージェントが SECRET とマークされたデータベースを読み取った場合、PUBLIC の Slack チャネルへの投稿は即座にブロックされます。