Две среды, две поверхности атаки
Использование AI разработчиками происходит в двух различных средах, каждая из которых имеет свой поток данных и свои требования к средствам безопасности.
AI, интегрированный в IDE: Cursor IDE, GitHub Copilot, расширения AI для VS Code и Claude Desktop с контекстом проекта предоставляют помощь AI непосредственно в среде разработки. Код, конфигурационные файлы, переменные окружения и структура проекта доступны инструменту AI в этой среде. AI модель получает — и обрабатывает — все, что разработчик вставляет или что AI клиент отправляет из контекста проекта.
AI на базе браузера: Claude.ai, ChatGPT, Gemini и другие интерфейсы AI на базе браузера доступны через веб-браузер. Разработчики вставляют фрагменты кода, трассировки стека, сообщения об ошибках и технические вопросы через текстовые поля браузера. Отправка идет напрямую на серверы поставщика AI без промежуточного слоя обработки.
Обе среды подвергают чувствительные данные разработчиков риску со стороны поставщиков AI. Обе среды требуют средств безопасности. Но техническая архитектура для каждой из них различна — и организация, которая решает только одну из двух сред, защищает лишь часть рабочего процесса разработчика.
Уровень IDE: Архитектура сервера MCP
Для разработчиков, использующих Claude Desktop или Cursor IDE, Протокол Контекста Модели (MCP) предоставляет архитектурный уровень для средств контроля безопасности.
MCP создает структурированный интерфейс между клиентами AI (IDE или настольным приложением) и API моделей AI. Сервер MCP находится в этом интерфейсе, обрабатывая все данные, передаваемые через протокол, прежде чем они достигнут модели AI.
Для целей безопасности позиция сервера MCP позволяет:
Перехват учетных данных: API ключи, строки подключения к базам данных, токены аутентификации и внутренние URL сервисов, которые появляются в вставленном коде или контексте проекта, обнаруживаются и заменяются токенами перед передачей. Модель AI получает код с [API_KEY_1] вместо фактического ключа.
Обнаружение пользовательских сущностей: Организации могут настраивать шаблоны обнаружения для собственных идентификаторов — внутренних кодов продуктов, форматов номеров учетных записей клиентов, внутренних названий сервисов — о которых стандартные инструменты обнаружения PII не знают. Эти пользовательские шаблоны применяются на сервере MCP до того, как какие-либо данные достигнут поставщика AI.
Прозрачная работа: Разработчик использует Cursor или Claude Desktop так же, как и прежде. Сервер MCP работает между клиентом AI и API незаметно. Разработчик получает ту же помощь AI; средство контроля безопасности работает без нарушения рабочего процесса.
GitHub Octoverse 2024 задокументировал 39 миллионов утечек секретов на GitHub в 2024 году — 25% годовой рост. Те же модели поведения, которые приводят к утечкам учетных данных GitHub (случайное включение учетных данных в закоммиченный код), приводят к утечкам учетных данных AI в IDE (случайное включение учетных данных в вставленный контекст). Перехват учетных данных сервера MCP решает проблему канала утечки.
Уровень браузера: Архитектура расширения Chrome
Для использования AI на базе браузера — Claude.ai, ChatGPT, Gemini — Расширение Chrome предоставляет средства контроля безопасности на уровне браузера.
Расширение Chrome работает на уровне браузера, перехватывая текст до его отправки через текстовые поля интерфейса AI. Расширение обнаруживает чувствительное содержимое в тексте, который разработчик собирается отправить — имена, учетные данные, собственные шаблоны кода и другие настроенные типы сущностей — и применяет анонимизацию до того, как содержимое достигнет серверов поставщика AI.
В отличие от сервера MCP, который работает на уровне приложения, расширение Chrome работает на уровне браузера. Это различие имеет значение для охвата:
Сервер MCP охватывает: Все взаимодействия AI через Claude Desktop или Cursor IDE — обзор кода, отладка, запросы контекста проекта и любое другое использование AI, интегрированное в IDE.
Расширение Chrome охватывает: Все взаимодействия AI на базе браузера — Claude.ai, ChatGPT, Gemini, Perplexity и любой другой интерфейс AI, доступный через браузер. Это включает разработчиков, использующих AI на базе браузера для технических справок, составления документации и вопросов, которые они предпочитают не направлять через свою IDE.
Совместное покрытие
Команда разработчиков, развертывающая оба уровня, достигает охвата по всему рабочему процессу AI разработчика:
- Разработчик использует Cursor с интеграцией Claude для отладки проблемы в производстве → Сервер MCP перехватывает учетные данные в трассировке стека до того, как Claude обработает их
- Тот же разработчик переключается на Claude.ai в браузере для общего вопроса по архитектуре, случайно включая внутренний URL сервиса → Расширение Chrome перехватывает URL перед отправкой
- Коллега разработчика использует ChatGPT в браузере для помощи с документацией, вставляет фрагмент кода, содержащий API ключ → Расширение Chrome перехватывает API ключ
Ни один из каналов не подвергает учетные данные или чувствительный код риску со стороны поставщиков AI. Оба разработчика могут использовать инструменты AI для законных целей продуктивности. Команда безопасности имеет технические средства контроля, работающие по обоим каналам, а не полагается на соблюдение политики.
Раскрытие CVE-2024-59944 — критическая уязвимость эксфильтрации PII через неправильно настроенное облачное хранилище в инструментах AI для разработчиков — представляет собой один задокументированный случай более широкой модели: инструменты AI для разработчиков, работающие без слоев перехвата, являются систематическим вектором утечки. Двухслойная архитектура является систематическим ответом.
Источники: