Présentation de Prismata
Les agents web autonomes promettent d'automatiser les tâches de navigation quotidienne, mais héritent de l'une des plus anciennes surfaces d'attaque du web. Le Cross-Site Scripting a prouvé que mélanger du contenu de confiance et non fiable est dangereux, même sur des pages inoffensives. Les agents réactivent ce risque en interprétant le langage naturel comme des instructions, permettant à des contenus tiers et générés par l'utilisateur de pirater l'agent via des injections de commande.
Fonctionnement de Prismata
Prismata est une défense qui impose un principe de moindre privilège contextuel pour les agents web, en limitant à la fois ce que l'agent voit et ce qu'il peut faire. La dérivation dynamique de confiance de Prismata produit des étiquettes de permission pour le contenu de la page, avec des garanties de confinement structurel, inspirées de modèles d'intégrité classiques, qui limitent les erreurs d'étiquetage de telle sorte que les étiquettes ne peuvent qu'être réduites en privilège et les erreurs d'étiquetage sont limitées.
Confinement mécanique et sécurité
Le confinement mécanique de Prismata impose ces étiquettes en masquant le contenu et en restreignant les capacités de l'agent. Ces mécanismes ne nécessitent aucune annotation de développeur, donc Prismata prend en charge la longue traîne de sites web. À travers les attaques d'agents web publiées récemment, y compris les variantes adaptatives, Prismata réduit considérablement le succès de l'attaque tout en préservant l'utilité des tâches inoffensives.
Implications et limites
Prismata offre une solution pour lutter contre les injections de commande dans les agents web, mais il est important de noter que la sécurité des agents web est un domaine en constante évolution. Les attaques futures pourraient nécessiter des mises à jour et des améliorations de la défense de Prismata. Cependant, les résultats actuels montrent que Prismata est une étape importante dans la protection des agents web contre les attaques de cross-site scriptage et les injections de commande.