Manifest : une plateforme pour combler les failles de sécurité de la chaîne d'approvisionnement des agents IA

Introduction

La startup Manifold Security Inc. a annoncé le lancement de Manifest, une plateforme d'intelligence de chaîne d'approvisionnement conçue pour cartographier et analyser les interactions entre les composants des agents IA et les systèmes externes. Cette plateforme vise à aider les entreprises à comprendre les dépendances derrière le comportement des agents, y compris les connexions à des outils externes, des infrastructures et d'autres composants logiciels qui pourraient introduire des risques.

Contexte Technique

La plateforme Manifest utilise une approche basée sur des graphiques pour modéliser le comportement des composants individuels et leurs connexions au sein de l'écosystème plus large. Elle construit des graphiques d'exécution pour cartographier ce que fait une compétence, y compris ses appels et dépendances, ainsi que des graphiques d'environnement qui suivent l'authorité, la similarité et les relations entre les référentiels. Cette perspective double est conçue pour mettre en surface des modèles et des risques difficiles à détecter par l'analyse traditionnelle au niveau des fichiers.

Analyse et Implications

Le lancement de Manifest est accompagné d'un rapport qui examine l'état de la chaîne d'approvisionnement des agents IA et met en évidence son ampleur et les défis auxquels sont confrontés les outils de sécurité existants. Le rapport cite des recherches qui ont identifié plus de 238 000 compétences uniques à travers plusieurs référentiels, avec des exemples malveillants confirmés déjà présents dans des marketplaces largement utilisés. Les résultats de l'analyse montrent que les taux de détection varient considérablement d'un outil à l'autre, avec un accord minimal sur les composants malveillants.

Perspective

Manifold argue que les incohérences entre les différents outils résultent d'un manque de contexte, car de nombreux risques émergent des relations entre les composants plutôt que d'un seul actif. La plateforme Manifest adresse ce problème en incorporant des données au niveau de l'écosystème, telles que l'activité des auteurs, les chaînes de dépendances et les connexions d'infrastructure, pour améliorer la qualité du signal et réduire les faux positifs. La nouvelle plateforme est disponible en tant que plateforme d'accès libre et gratuit avec une base de données indexée de plus de 100 000 actifs, ainsi que des capacités de recherche, d'analyse et de révision.