Kopsavilkums:

WebMCP protokols ļauj tīmekļa vietnēm nodot gatavus rīkus mākslīgā intelekta aģentu rīcībā. Tomēr šī integrācija rada jaunus drošības riskus, kurus uzbrucēji var izmantot aģentu vadības pārņemšanai caur lietotāju radītu saturu.

Google Chrome izstrādātāju komanda ir publicējusi jaunas drošības vadlīnijas, kas tieši skar mājaslapu īpašniekus, kuri vēlas pielāgot savu saturu mākslīgā intelekta vajadzībām. Jaunais WebMCP (Web Model Context Protocol) protokols atvieglo aģentu darbu, nododot tiem strukturētus rīkus, taču vienlaikus tas paver jaunu uzbrukuma laukumu.

Līdz šim galvenā uzmanība tika pievērsta tam, vai AI aģents spēj piekļūt lapas saturam un pabeigt pirkumu. WebMCP maina šo pieeju, piedāvājot aģentam gatavus, nosauktus rīkus, ko izsaukt. Tas palīdz aģentiem labāk orientēties vietnē, tomēr rada nopietnus riskus, ja vietne netiek atbilstoši aizsargāta.

Divi galvenie aģentu nolaupīšanas ceļi

Drošības pētnieki ir identificējuši divus veidus, kā uzbrucēji var izmantot WebMCP rīkus pret pašiem lietotājiem vai sistēmām.

Manipulētas rīku definīcijas

Pirmais apdraudējuma veids saistīts ar ļaunprātīgām definīcijām pašā vietnē. Uzbrucēja kontrolēta vietne var piedāvāt rīkus ar slēptām instrukcijām to nosaukumos, parametros vai aprakstos. Tā kā AI aģents lasa rīka aprakstu, lai saprastu, kā to izmantot, šajā tekstā iebūvēta instrukcija var piespiest aģentu veikt darbības, kuras lietotājs nav plānojis.

Komprometēti dati un lietotāju saturs

Otrs riska veids ir daudz izplatītāks un bīstamāks parastām vietnēm. Tas saistīts ar kompromitētiem datiem, kas nāk no trešo pušu avotiem. Ja jūsu vietnes rīks nolasa un nodod aģentam lietotāju atsauksmes, forumu ierakstus vai klientu atbalsta ziņas, tajās var būt paslēptas instrukcijas. Kad uzticamais rīks nodod šos datus AI aģentam, aģents tos uztver kā komandas, nevis vienkāršu tekstu.

Lielie valodas modeļi apstrādā visu informāciju kā vienotu žetonu secību, nespējot skaidri nošķirt sistēmas instrukcijas no lietotāja datiem. Šī iemesla dēļ drošību nav iespējams garantēt paša modeļa ietvaros.

Kā norāda drošības vadlīniju avots, šī problēma ir fundamentāla promptu injicēšanas (prompt injection) vājība, kurai nav vienkārša tehniska risinājuma paša LLM modeļa līmenī. WebMCP šo uzbrukumu padara vieglāk realizējamu, nodrošinot struktūru tiešai datu piegādei.

Chrome piedāvātie aizsardzības mehānismi

Atbildība par drošību tagad gulstas uz vietņu izstrādātājiem. Chrome iesaka izmantot īpašas norādes (hints) un ierobežojumus, reģistrējot WebMCP rīkus vietnē.

ParametrsFunkcija un pielietojumsDrošības ieguvums
untrustedContentHintAtzīmē saturu, ko radījuši trešās puses lietotājiBrīdina aģentu par nepieciešamību pēc pastiprinātas kontroles
readOnlyHintNorāda, ka rīks tikai nolasa datus un neveic izmaiņasSamazina risku, ka aģents veiks nevēlamas darbības vai pirkumus
exposedToIerobežo rīka pieejamību tikai uzticamiem domēniemNovērš rīka izmantošanu no nezināmiem aģentiem

Zemāk redzams piemērs, kā pareizi reģistrēt rīku, izmantojot drošības ierobežojumus programmēšanas kodā:

document.modelContext.registerTool({
  name: 'read_reviews',
  description: 'Atgriež produktu atsauksmes'
}, {
  exposedTo: ['https://uzticams-agents.lv'],
  untrustedContentHint: true,
  readOnlyHint: true
});

Tā kā AI aģenti arvien biežāk apmeklē vietnes, lai meklētu informāciju, ir svarīgi saprast, kā tie uztver jūsu saturu. Lai sagatavotu savu vietni drošai mijiedarbībai ar jaunās paaudzes meklētājiem, ir noderīgi veikt pilnu mājaslapas SEO auditu un laikus novērst potenciālos ievainojamības punktus struktūrā.

Aigents.lv rekomendācija
Ja plānojat ieviest WebMCP rīkus savā e-komercijas vai pakalpojumu vietnē Latvijā, veiciet katra rīka risku analīzi līdzīgi kā publiskam API pieslēgumam. Vienmēr ierobežojiet piekļuvi ar exposedTo parametru, atļaujot piekļuvi tikai pārbaudītiem un uzticamiem meklēšanas vai iepirkšanās aģentiem.

Rīku apjoma ierobežojumi

Papildus parametru norādīšanai Chrome rekomendē ieviest stingrus apjoma ierobežojumus. Rīka apraksts nedrīkst pārsniegt 500 rakstzīmes, savukārt vienas atbildes apjoms jāierobežo līdz aptuveni 1500 rakstzīmēm. Tāpat ir svarīgi izmantot requestUserInteraction() funkciju jebkādām darbībām, kas ietekmē lietotāja datus vai veic maksājumus, lai lietotājs pats apstiprinātu katru soli.

Biežāk uzdotie jautājumi (FAQ)

Kas ir WebMCP un kā tas darbojas?

WebMCP ir jauns protokols, kas ļauj tīmekļa vietnēm nodot tieši izsaucamus rīkus un datus mākslīgā intelekta aģentiem, aizstājot sarežģīto HTML koda lasīšanu.

Kāpēc lietotāju komentāri var apdraudēt AI aģentus?

AI modeļi nespēj atšķirt parastu tekstu no vadības instrukcijām. Ja klients atsauksmē ieraksta slēptu komandu, AI aģents to var izpildīt kā vietnes administratora pavēli.

Kā es varu pasargāt savas vietnes WebMCP rīkus?

Izmantojiet Chrome ieteiktos parametrus, piemēram, untrustedContentHint neuzticamiem datiem, readOnlyHint lasīšanas režīmam, un ierobežojiet piekļuvi tikai konkrētiem domēniem ar exposedTo.