ACL e Lethal Trifecta
Access Control Levels e o modelo de ameaça de três capacidades que o Edison Watch aplica contra exfiltração de dados por prompt injection.
O Edison Watch previne a exfiltração de dados detectando e bloqueando a combinação de capacidades necessárias para um ataque.
A Ameaça: Prompt Injection
Agentes de IA são vulneráveis a prompt injection - instruções maliciosas escondidas em conteúdo externo (como uma página da web ou arquivo) que manipulam a IA para exfiltrar dados sensíveis.
A Lethal Trifecta
A exfiltração requer três capacidades. O Edison Watch as rastreia por meio de flags monotônicas por sessão:
| Capacidade | Flag de Segurança | Ação |
|---|---|---|
| Acesso a Dados Privados | read_private_data | A IA lê arquivos internos, DBs ou documentos. |
| Conteúdo Não Confiável | read_untrusted_public_data | A IA busca dados da internet. |
| Comunicação Externa | write_operation | A IA envia dados para fora (Slack, Email, APIs). |
Lógica de Aplicação: Se uma sessão acessou tanto Dados Privados E Conteúdo Não Confiável, qualquer Comunicação Externa subsequente é pausada para aprovação humana.
Estado da Sessão
O estado é rastreado no servidor Edison e é monotônico: uma vez que uma flag é definida (por exemplo, Dados Privados acessados), ela não pode ser desfeita para aquela sessão. Isso evita ataques de "reset".
Access Control Levels (ACL)
ACLs impedem que dados sensíveis fluam para destinos de menor sensibilidade, independentemente do estado da Trifecta.
| Nível | Regra |
|---|---|
| PUBLIC | Pode fluir para qualquer lugar. |
| PRIVATE | Não pode fluir para PUBLIC. |
| SECRET | Não pode fluir para PRIVATE ou PUBLIC. |
Exemplo: Se um agente lê um banco de dados marcado como SECRET, ele é imediatamente impedido de postar em um canal PUBLIC do Slack.