Agent 未授權網路請求
Operation & Monitoring
Risk Description English translation pending
AI Agent 發送未經核准的 HTTP 請求到外部伺服器,可能洩露內部數據或觸發外部服務。例如 Agent 在「搜尋數據」的過程中,將使用者的查詢內容和上下文發送到非預期的第三方 API。在更嚴重的場景中,Agent 可能被提示注入誘導向攻擊者控制的伺服器發送機密資訊。
Framework Mappings
iso 23894R5
cosaiRogue Actions
tw principle資安與安全
tw risk type部署互動問題(Deployment Interaction)
Controls English translation pending
- Agent 網路白名單
- 出站流量監控
Implementation Steps English translation pending
- 實施 Agent 的出站網路白名單(只允許存取已核准的域名/IP)
- 部署出站流量 DLP 監控,偵測敏感數據外傳
- 對所有外部 API 呼叫記錄完整日誌
- 在 Agent 框架中實施 URL 驗證和域名過濾