SafeKit - СейфКит
Комплекс безопасности для вашего бизнеса
Услуги
Битрикс24
1С-Битрикс: Управление сайтом
Mikrotik
Windows Server
Блог
Компания
О компании
Партнеры
Реквизиты
Оферта
Политика
Контакты
Акции
+79696000089
+79696000089 Мобильный
Заказать звонок
Задать вопрос
sale@safekit.tech
г. Нижний Новгород, сп Новинки, ул. 2-ая Дорожная, д. 13, кв. 19
  • Вконтакте
  • Telegram
  • WhatsApp
+79696000089
+79696000089 Мобильный
SafeKit - СейфКит
Компания
  • О компании
  • Партнеры
  • Реквизиты
  • Оферта
  • Политика
Сертификаты
Услуги
  • Битрикс24
  • 1С-Битрикс: Управление сайтом
  • Mikrotik
  • Windows Server
Блог
Лицензии
  • amoCRM
  • Битрикс
  • Подписки
Инструменты
SafeKit Pro
Развлечения для сетевиков
Контакты
+  ЕЩЕ
    SafeKit - СейфКит
    Компания
    • О компании
    • Партнеры
    • Реквизиты
    • Оферта
    • Политика
    Сертификаты
    Услуги
    • Битрикс24
    • 1С-Битрикс: Управление сайтом
    • Mikrotik
    • Windows Server
    Блог
    Лицензии
    • amoCRM
    • Битрикс
    • Подписки
    Инструменты
    SafeKit Pro
    Развлечения для сетевиков
    Контакты
    +  ЕЩЕ
      Реализация модели авторизации на основе минимальных привилегий в цепочках ИИ с использованием Cedar - SafeKit - СейфКит
      Телефоны
      +79696000089 Мобильный
      • Услуги
        • Назад
        • Услуги
        • Битрикс24
        • 1С-Битрикс: Управление сайтом
        • Mikrotik
        • Windows Server
      • Блог
      • Компания
        • Назад
        • Компания
        • О компании
        • Партнеры
        • Реквизиты
        • Оферта
        • Политика
      • Контакты
      • Акции
      • +79696000089Мобильный
      Контактная информация
      г. Нижний Новгород, сп Новинки, ул. 2-ая Дорожная, д. 13, кв. 19
      sale@safekit.tech
      • Вконтакте
      • Telegram
      • WhatsApp

      Реализация модели авторизации на основе минимальных привилегий в цепочках ИИ с использованием Cedar

      Главная
      —
      Блог
      —Реализация модели авторизации на основе минимальных привилегий в цепочках ИИ с использованием Cedar
      7 июля 2026 0:00
      Безопасность multi-агентных систем ИИ требует особого внимания к вопросам авторизации. Без надлежащего контроля агенты могут получать доступ к данным и выполнять действия, выходящие за рамки авторизации пользователей. Эта проблема классифицируется как ASI03: Identity & Privilege Abuse в OWASP Top 10 для приложений с агентами. В этой статье мы рассмотрим, как использовать модель авторизации на основе минимальных привилегий, построенную с помощью языка авторизации Cedar, для ограничения доступа агентов в цепочках ИИ.
      Введение: При построении multi-агентных систем ИИ важно防止 расширение объема авторизации при делегировании задач между агентами. Без надлежащего контроля агенты могут получать доступ к данным и выполнять действия, выходящие за рамки авторизации пользователей. Даже при наличии ролевой модели контроля доступа (RBAC) агенты могут непреднамеренно получать доступ к данным, для которых у них нет разрешения.

      Подробности

      Для решения этой проблемы мы предлагаем использовать трехслойную модель авторизации, построенную с помощью языка авторизации Cedar. Cedar — это язык открытого кода, позволяющий создавать политики авторизации на основе минимальных привилегий. В данной реализации используется аутентификация на основе OAuth 2.0 и авторизация на основе Cedar. Агент, получающий доступ к данным, должен продемонстрировать соответствие политикам Cedar на трех слоях: - L1 – Agent-to-tool: Проверка того, что агент имеет достаточный уровень доверия (1-5), принадлежит к правильному пространству имен (например, оплаты) и находится на этапе производства. - L2 – Agent-to-agent delegation: Проверка того, что количество делегированных шагов не превышает ограничения (五), и что запрошенные задачи являются подмножеством зарегистрированных возможностей целевого агента. - L3 – Originating user authorization: Проверка того, что пользователь, инициировавший цепочку, имеет необходимую роль (например, администратор), прошел МFA и находится в пределах допустимой глубины делегирования.

      Что делать

      Для реализации этой модели авторизации необходимо: 1. Аутентифицировать пользователя с помощью OIDC-совместимого провайдера идентификации (например, Amazon Cognito с МFA на основе TOTP). 2. Выдать пользователю верifiable claims (например, sub, role, amr, session_id) в виде JWT. 3. Передать JWT и запрос задачи агенту. 4. Проверить авторизацию на каждом слое Cedar, выполняя политики авторизации последовательно, останавливаясь на первом отклонении. Итог: Использование модели авторизации на основе минимальных привилегий, построенной с помощью языка авторизации Cedar, позволяет ограничить доступ агентов в цепочках ИИ и предотвратить потенциальные уязвимости безопасности. Эта реализация может быть использована для построения более безопасных multi-агентных систем ИИ.

      Источник: AWS Security Blog

      Теги
      информационная безопасность кибербезопасность новости ИБ AWS Security Blog
      Назад к списку
      Теги
      AWS Security Blog BleepingComputer Check Point Research Cisco Talos Intelligence Cloudflare Blog (Security) Dark Reading Fortinet Blog Kaspersky Securelist RU Keycloak Blog Krebs on Security Microsoft Security Blog opennet Positive Technologies Blog SecurityWeek The Hacker News информационная безопасность кибербезопасность новости ИБ Хабр — Информационная безопасность Хабр — Системное администрирование Яндекс Облако — Безопасность
      Компания
      Сертификаты
      Услуги
      Блог
      Лицензии
      Инструменты
      SafeKit Pro
      Развлечения для сетевиков
      Контакты
      • Вконтакте
      • Telegram
      • WhatsApp
      +79696000089
      +79696000089 Мобильный
      sale@safekit.tech
      г. Нижний Новгород, сп Новинки, ул. 2-ая Дорожная, д. 13, кв. 19
      Политика конфиденциальности
      2026 © Всё для защиты и стабильности
      Нашли ошибку на сайте? Выделите текст и нажмите Ctrl+Shift+Enter (или Cmd+Shift+Enter на Mac) — сообщение уйдёт в поддержку. Если горячие клавиши недоступны, пишите на support@safekit.tech.