AWS מסבירה: למה Bedrock AgentCore בחר ב-Cedar לאבטח agentic workflows

AWS פרסמה ב-20 במאי פוסט אבטחה שמפרט את הרציונל מאחורי שכבת ה-authorization של Bedrock AgentCore: היא משתמשת ב-Cedar, שפת המדיניות ה-open-source ש-AWS בנתה במקור עבור Verified Permissions. הפוסט טוען שתבנית ה-'הוסף guardrails בתוך ה-system prompt' הסטנדרטית פשוט לא עובדת עבור agents שמבצעים פעולות אמיתיות, כי LLMs הם non-deterministic, פגיעים ל-prompt injection ויכולים להזות בביטחון קריאות tool מזיקות שנראות לגיטימיות.

הפיץ' של Cedar הוא מדיניות דקלרטיבית, ניתנת לאודיט, ומוערכת חיצונית. במקום לסמוך על המודל ש-'יזכור' שאסור לו להפיל טבלת production, AgentCore מעריך כל קריאת tool מול policy של Cedar ב-runtime — מחוץ למודל — ומתיר או דוחה אותה על בסיס principal, action, resource ו-context. ה-policies קריאות לאדם, ניתנות לניתוח (ל-Cedar יש מצב verification שמוכיח תכונות על קבוצת policies) וניתנות ל-version-control. וקריטית — הן לא תלויות בציות של המודל.

זה הפרסום השני של AWS השבוע בנושא AgentCore, לצד סדרת שלושת החלקים של AWS Heroes על בניית AWS Briefing Agent מותאם אישית על AgentCore Runtime באמצעות RSS + S3 Vectors + Knowledge Base ו-Strands Agents SDK. יחד הם מסמנים ש-AWS דוחפת את AgentCore כ-stack הדעתני ל-agents בייצור, באותה דרך ש-Bedrock הפך ל-stack הדעתני ל-inference של foundation models.

תחרותית, ה-MCP tunnels של Claude managed-agent של Anthropic וה-sandboxes הנארחים-עצמית (שהשיקה ב-19 במאי) תוקפים את אותה בעיה מזווית ה-runtime-isolation: להגביל את מה שה-agent יכול להגיע אליו. AWS תוקפת את זה מזווית ה-policy: להגביל את מה שה-agent מורשה לעשות. שתי הגישות כנראה יתכנסו — sandbox + מדיניות דקלרטיבית — אבל ההימור של AWS על Cedar הוא הענן הגדול הראשון שלוקח עמדה ציבורית ודעתנית על איך צריך להיראות 'agent authorization'. סקפטים בשרשורי HN ישאלו אם האקספרסיביות של Cedar מספיקה למקרים המבולגנים של העולם האמיתי.