振り返りシリーズ
- セッション 01: エージェント向けアーキテクチャ設計への開発者ロードマップ
- セッション 02: Amazon Bedrock Data Automation
- セッション 03: AgentCore 上のマルチエージェント
- セッション 04: Nova Act と Strands Agents を実践で活用したエージェント型 AI の構築
- セッション 04: 仕様駆動開発と Kiro で移行プロジェクトを加速
- セッション 06: 「マッチング」から「理解」へ: AgentCore Memory が実現するパーソナライズド AI 検索の実践
- セッション 07: 観測から最適化へ – LLM オブザーバビリティから AIOps へ、リアルタイムの洞察をインテリジェントな自動化に変える
- セッション 08: TEAM の導入と最高のエンジニアリングチームの構築
- セッション 09: いわゆるサーバーレスデータベースの5年間から得た5つの厳しい教訓
- セッション 14: AI が私の仕事をしたらどうなるか Q Developer CLI と Kiro が私の日常業務をどう変えたか
- セッション 16: 警戒を保ちながら迅速に:Amazon Bedrock エージェント開発に不可欠なセキュリティ
- セッション 26: 1 台の H100 で OSS LLM をよりスマートに、低コストで、高速に実行
- セッション 28: 最新の統合メタデータアーキテクチャ:データサイロを解消する新たなアプローチ
- セッション 29: サーバーレス MediaOps:Amazon Web Services 上の AI による動画ワークフローの自動化
- セッション 30: 大規模パフォーマンステストによる効率性と信頼性を重視したアーキテクチャ設計
- セッション 31: オープンソースで世界をつなぐ: テクノロジー、コミュニティ、グローバルな開発者関係をめぐる実践の旅
- セッション 33: リアルタイム物流分析のためのストリーミング Iceberg テーブルの構築
- セッション 34: 大規模ロボット戦略トレーニングの高速化: Kiro、Trainium、EKS に基づく自動クローズドループアーキテクチャ
- セッション 35: 仕様駆動開発で「Vibe」から実用レベルへ
- セッション 36: クラウドコスト分析をよりスマートに: StrandsとAgentCoreによるFinOpsインテリジェントエージェントの構築
- セッション 37: CNCF Kagent、K8sGPT、Nova Sonicを使用したK8s向け対話型エージェントAIOpsの変革
セッションノート
エージェント型開発は、分散プログラミング/マイクロサービスに類似しています。
エージェント型システムにおける主なセキュリティリスクには、以下が含まれます:
- 脅威モデリングのベストプラクティス
- 透明性 エージェント型システムのエージェント(中核コンポーネント)が連携するもの:
- メモリ
- ツール
- 計画
- アクション メモリのコンポーネント:
- 短期メモリ
- 長期メモリ ツール:
- カレンダー
- 計算機
- コードインタープリター
- 検索 計画のコンポーネント:
- 振り返り
- 自己批評
- 思考の連鎖
- サブゴールの分解
エージェント型システムは分散システムです:
- 分散システムは、ローカルとリモートの両方にあるさまざまな API を呼び出します。
- リモート呼び出しには無数の障害ケースがあります:
- [ 1 ] 認可されていない
- [ 2 ] 応答がない
- [ 3 ] 応答が遅い
- [ 4 ] 誤った応答 エージェント型セキュリティは、従来の分散システムのセキュリティよりもさらに困難です
- エージェントは非常に非決定的になり得ます。
- 具体性に関する問い:
- [ 1 ] エージェント/ツール/アクショングループの説明はどの程度具体的か?
- [ 2 ] エージェントはいくつあるか?
- [ 3 ] システムプロンプトはどの程度具体的か?
- 誤った回答を得ることはセキュリティ上の懸念です。エージェント型システムの攻撃対象領域には、以下が含まれます:
- すべてのエージェント呼び出し
- すべてのツール呼び出し
- すべてのプロンプト
- 以下によって拡大する攻撃対象領域:
- 誤った回答
- 遅延した回答
- マルチエージェントの可観測性
- 非決定性
- データ流出
- プロンプトインジェクション LLM 自体がもたらす脅威:
- AI モデルは、監視が弱まると従順なふりをして欺瞞を計画する可能性があります。
- 欺瞞的な AI の能力は、モデルの複雑さとともに高まります。
- 人間の慢心は AI の欺瞞を助長し、システム内で気付かれないまま広がるリスクを生みます。
- Apollo Research の実験では、GPT-4 が違法なインサイダー取引計画を実行し、調査担当者に嘘をつく様子が示されました。
- 研究者は、パラメータ数が増えるにつれて、以下を含む欺瞞能力がモデルに現れることを発見しました:
- [ 1 ] 重要な事実を隠す
- [ 2 ] 資格情報を捏造する
- [ 3 ] 誤解を招く説明を生成する
3 層の緩和策:
- Bedrock UG(> 3000 ページ)
- 責任共有モデル Bedrock 固有の防御策
- ガードレール
- HTML 評価
- 従来の Amazon Web Services セキュリティ
- [ 1 ] IAM
- [ 2 ] 最小権限
- [ 3 ] CloudWatch
- ガードレールのメトリクス
- Amazon Bedrock Guardrails
- [ 1 ] コンテンツフィルター
- [ 2 ] 拒否トピック
- [ 3 ] 単語フィルター
- [ 4 ] 機密情報フィルター
- [ 5 ] コンテキストグラウンディングチェック
- モデルとエージェントに適用 責任共有モデル:
- すべての標準的な防御策
- 最小権限
- IAM
- Lambda の防御策
- CloudWatch
- CloudTrail
