ACL & Lethal Trifecta
Access Control Level และแบบจำลองภัยคุกคามสามความสามารถที่ Edison Watch บังคับใช้เพื่อต่อต้านการลักลอบนำข้อมูลออกผ่าน prompt injection
Edison Watch ป้องกันการลักลอบนำข้อมูลออกด้วยการตรวจจับและบล็อกการรวมความสามารถที่จำเป็นสำหรับการโจมตี
ภัยคุกคาม: Prompt Injection
AI agent มีความเสี่ยงต่อ prompt injection - คำสั่งที่เป็นอันตรายซึ่งซ่อนอยู่ในเนื้อหาภายนอก (เช่น หน้าเว็บหรือไฟล์) ที่ manipulate AI ให้ลักลอบนำข้อมูลที่ละเอียดอ่อนออก
Lethal Trifecta
การลักลอบนำข้อมูลออกต้องการสามความสามารถ Edison Watch ติดตามสิ่งเหล่านี้ผ่านแฟล็กแบบ monotonic ต่อเซสชัน:
| ความสามารถ | Security Flag | Action |
|---|---|---|
| Private Data Access | read_private_data | AI อ่านไฟล์ภายใน DB หรือเอกสาร |
| Untrusted Content | read_untrusted_public_data | AI ดึงข้อมูลจากอินเทอร์เน็ต |
| External Communication | write_operation | AI ส่งข้อมูลออก (Slack, อีเมล, API) |
ตรรกะการบังคับใช้: หากเซสชันได้เข้าถึงทั้ง Private Data และ Untrusted Content แล้ว External Communication ที่ตามมาจะถูกหยุดเพื่อรอการอนุมัติจากมนุษย์
สถานะเซสชัน
สถานะถูกติดตามใน Edison server และเป็นแบบ monotonic: เมื่อแฟล็กถูกตั้งค่า (เช่น เข้าถึง Private Data) จะไม่สามารถ unset สำหรับเซสชันนั้นได้ สิ่งนี้ป้องกันการโจมตีแบบ "reset"
Access Control Level (ACL)
ACL ป้องกันไม่ให้ข้อมูลที่ละเอียดอ่อนไหลไปยังปลายทางที่มีความละเอียดอ่อนต่ำกว่า ไม่ว่าจะอยู่ในสถานะใดของ Trifecta
| ระดับ | กฎ |
|---|---|
| PUBLIC | สามารถไหลไปที่ใดก็ได้ |
| PRIVATE | ไม่สามารถไหลไปยัง PUBLIC |
| SECRET | ไม่สามารถไหลไปยัง PRIVATE หรือ PUBLIC |
ตัวอย่าง: หาก agent อ่านฐานข้อมูลที่มาร์ก SECRET มันจะถูกบล็อกทันทีจากการโพสต์ไปยังช่อง PUBLIC Slack