Google Cloud تضيف حدودا على مستوى الوكلاء لأحمال الذكاء الاصطناعي المؤسسية
أضافت Google Cloud خصائص في VPC Service Controls لأحمال الذكاء الاصطناعي الوكيلية، تشمل هويات الوكلاء داخل قواعد الحدود، وضوابط سمات MCP، وحماية مدمجة لمثيلات Gemini Enterprise Agent Platform.
Google Cloud توسع VPC Service Controls إلى الوكلاء
أضافت Google Cloud قدرات في VPC Service Controls لأحمال الذكاء الاصطناعي الوكيلية، مانحة المؤسسات ضوابط حدودية أدق مع اتصال الوكلاء المستقلين بالأدوات ومجموعات البيانات وخدمات السحابة.
يتعامل التحديث مع هوية الوكيل كنقطة ضبط أساسية. يستطيع المسؤولون إضافة هويات وكيلية مباشرة إلى قواعد الدخول والخروج في حدود الخدمة باستخدام IAM principals القياسية. ويمكن أن يرتبط principal واحد بوكيل واحد، بينما يستطيع principalSet تطبيق سياسات وصول متسقة وقابلة للتدقيق على أسطول من الوكلاء.
تقول Google Cloud إن التصميم يسمح للمسؤولين بإلغاء وصول وكيل مخترق عند حدود الشبكة. ويغير ذلك نموذج التحكم لفرق الذكاء الاصطناعي المؤسسية لأن وصول الوكيل لا يبقى محكوما فقط بحسابات خدمة عامة أو أذونات على مستوى التطبيق.
سمات MCP تضيق وصول الأدوات
يجلب التحديث أيضا سمات Model Context Protocol إلى VPC Service Controls. تستطيع قواعد الوصول المشروطة الآن استخدام حقول مثل mcp.toolName وmcp.method وmcp.tool.isReadOnly.
استخدمت Google Cloud مثالا من Workspace MCP لشرح الحد. يمكن للمؤسسة منح وكيل حق قراءة خادم Workspace MCP مع رفض قدرته على إرسال رسائل بريد إلكتروني. المثال ضيق، لكنه يعالج قلقا مؤسسيا شائعا: قد يحتاج الوكلاء إلى فحص المعلومات من دون الحصول على إذن لتنفيذ أفعال تنقل البيانات أو تتصل بأطراف خارجية.
أصبحت VPC Service Controls مدمجة أيضا بشكل أصلي مع Gemini Enterprise Agent Platform. وعندما يضع المسؤولون Agent Platform كخدمة محمية داخل حدود VPC-SC، يتم حجب الوصول العام عبر الإنترنت إلى مثيل Agent Platform من دون عبء إعداد إضافي.
الحدود تعالج حركة البيانات لا الهوية فقط
قدمت Google Cloud التحديث باعتباره جزءا من نموذج أمني متعدد الطبقات للذكاء الاصطناعي. تحكم IAM وPrincipal Access Boundaries من يستطيع الوصول إلى الموارد. وتحكم الجدران النارية الشبكية من الجيل التالي وVPC Service Controls حركة البيانات عبر الحدود. وتضع Organization Policy وضوابط الموارد الأخرى قيود إعداد أوسع.
هذا التمييز مهم لأحمال الوكلاء لأن الوكلاء يستطيعون اتباع المطالبات واستدعاء الأدوات وتشغيل عمليات سحابية. وقد يحتفظ الوكيل المخترق ببيانات اعتماد IAM صالحة، لذلك قد لا يكشف فحص الهوية وحده فعلا غير طبيعي.
وصفت الشركة ثلاثة سيناريوهات تهديد مرتبطة بقائمة OWASP Top 10 for LLM Applications. في حالة واحدة، تحاول حقنة مطالبة غير مباشرة جعل الوكيل يلخص بيانات داخلية ويرسلها إلى webhook خارجي. تحجب VPC-SC نقل البيانات على مستوى API عندما تكون الوجهة خارج الحدود المحددة.
فرق الذكاء الاصطناعي المؤسسية ما زالت تحتاج إلى انضباط نشر
يمنح التحديث فرق أمن السحابة إنفاذا أدق حول وكلاء الذكاء الاصطناعي، لكنه لا يزيل عمل تحديد الحدود ورسم هويات الوكلاء وتقرير الأدوات التي ينبغي أن تكون للقراءة فقط. كما أنه لا يستبدل IAM أو الجدران النارية أو سياسات المؤسسة؛ تضع Google Cloud خدمة VPC-SC كطبقة قائمة على الوجهة بين تلك الضوابط.
قال Juan Pablo Boschi، قائد مشروع في Mercado Libre، إن الشركة تستخدم VPC Service Controls عبر مئات مشاريع Google Cloud للحفاظ على ضوابط أمنية على مستوى الشبكة وحماية البيانات في بيئتها السحابية.
بالنسبة إلى CIOs وفرق الأمن، يبقى عبء التطبيق محددا: يحتاج كل وكيل إنتاجي إلى هوية مرسومة، وقاعدة حدود، وسياسة أداة MCP عند الحاجة، وحد وجهة يمنع حركة البيانات خارج المشاريع المعتمدة.
