Prismata: Injeción de prompts cruzados en agente web confinada
Los agentes web autónomos pueden automatizar tareas de navegación diarias, pero también heredan vulnerabilidades de la web. Un equipo de investigadores ha desarrollado Prismata, un sistema de defensa que limita la inyección de comandos cruzados en agentes web.
Prismata asigna etiquetas de permiso a contenido de página y utiliza confinamiento estructural para limitar lo que el agente puede ver y hacer. El sistema no requiere anotaciones de desarrolladores, lo que lo hace compatible con la mayoría de los sitios web. Los investigadores han probado Prismata con ataques publicados recientemente y han encontrado que reduce significativamente el éxito de los ataques mientras mantiene la utilidad de las tareas benignas.
“El sistema no requiere anotaciones de desarrolladores, lo que lo hace compatible con la mayoría de los sitios web”
El equipo de investigadores, liderado por Corban Villa, Alp Eren Ozdarendeli, Sijun Tan y Raluca Ada Popa, ha publicado su trabajo en el sitio web arXiv. El sistema Prismata utiliza un enfoque de confinamiento dinámico para derivar políticas de seguridad específicas para cada tarea, lo que permite limitar el acceso del agente a contenido no confiable.
La importancia de Prismata radica en su capacidad para mitigar la inyección de comandos cruzados, una vulnerabilidad que puede permitir a atacantes malintencionados tomar el control de agentes web. El sistema también puede ser útil para proteger la privacidad de los usuarios, ya que limita la cantidad de información que el agente puede acceder y compartir. Con Prismata, los investigadores buscan mejorar la seguridad y la confiabilidad de los agentes web autónomos, lo que puede tener un impacto significativo en la forma en que interactuamos con la web en el futuro.