सुरक्षा खतरा मॉडल इस बारे में मान्यताओं पर बनाए जाते हैं कि कौन या क्या अनुरोध कर रहा है। STRIDE मानता है कि मानव अभिनेता परिभाषित इंटरफेस के माध्यम से सिस्टम के साथ इंटरैक्ट करते हैं। AI एजेंट उस तरह काम नहीं करते।
STRIDE AI एजेंट के लिए डिज़ाइन नहीं किया गया था
एजेंटिक सिस्टम स्वायत्त रूप से काम करते हैं, API कॉल के माध्यम से टूल्स को चेन करते हैं, यह तय करते हैं कि कौन से डेटा को पुनः प्राप्त करना है और कौन से एक्शन निष्पादित करने हैं, और कई स्रोतों से निर्देश प्राप्त कर सकते हैं — यूज़र प्रॉम्प्ट, टूल परिणाम, पुनः प्राप्त डेटा। STRIDE खतरा मॉडल (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) प्रॉम्प्ट इंजेक्शन, कॉन्टेक्स्ट पॉइज़निंग, या टूल दुरुपयोग जैसे एजेंट-विशिष्ट हमले वेक्टर को पर्याप्त रूप से कैप्चर नहीं करता।
Cloud Security Alliance ने AI एजेंट जोखिम के लिए विशेष रूप से MAESTRO फ्रेमवर्क प्रकाशित किया।
MAESTRO फ्रेमवर्क
MAESTRO एजेंटिक AI जोखिम को सात परतों में व्यवस्थित करता है:
- Foundation Models — अंतर्निहित LLM और उनकी प्रशिक्षण कमज़ोरियां
- Data Operations — डेटा पुनः प्राप्ति, भंडारण और हेरफेर
- Agent Frameworks — एजेंट ऑर्केस्ट्रेशन और समन्वय मिडलवेयर
- Deployment & Infrastructure — एजेंट कहां चलते हैं और कैसे कॉन्फ़िगर किए जाते हैं
- Evaluation & Observability — समय के साथ एजेंट व्यवहार की निगरानी
- Security & Compliance — एक्सेस कंट्रोल, ऑडिटिंग और नियामक अनुपालन
- Agent Ecosystem — एजेंट एक-दूसरे और बाहरी टूल्स के साथ कैसे इंटरैक्ट करते हैं
प्रत्येक परत में विशिष्ट हमले वेक्टर हैं जिन्हें पारंपरिक सुरक्षा नियंत्रण सीधे संबोधित नहीं करते।
गवर्नड एग्ज़ीक्यूशन बाउंड्री के रूप में Microsoft SQL
SQL Server 2025 MAESTRO परतों पर ठोस तरीकों से मैप करता है:
Data Operations परत: T-SQL में एकीकृत AI_GENERATE_EMBEDDINGS वेक्टर ऑपरेशन को डेटाबेस की गवर्नड बाउंड्री के भीतर रखता है। एम्बेडिंग प्रोसेसिंग के लिए डेटा को मॉडल सेवा में जाने की आवश्यकता नहीं है।
Security & Compliance परतें: Row-Level Security (RLS) और Dynamic Data Masking (DDM) इस पर ध्यान दिए बिना लागू होते हैं कि अनुरोध कैसे आया — चाहे मानव उपयोगकर्ता से हो या AI एजेंट से। एजेंट उन नियंत्रणों को बायपास नहीं कर सकता जो डेटाबेस द्वारा ही लागू किए जाते हैं।
Agent Frameworks परत: संग्रहीत प्रक्रियाएं टूल बाउंड्री के रूप में काम करती हैं। एजेंट को मनमाना SQL एक्सेस देने के बजाय, आप अनुमत ऑपरेशन को प्रक्रियाओं के रूप में परिभाषित करते हैं और उन्हें एजेंट टूल्स के रूप में उजागर करते हैं। पैरामीटराइज़्ड क्वेरी निष्पादन स्तर पर इंजेक्शन को रोकती हैं।
Evaluation & Observability परत: ऑडिट लॉगिंग और Query Store कैप्चर करते हैं कि प्रत्येक एजेंट ने वास्तव में क्या निष्पादित किया — सिर्फ वही नहीं जो करने के लिए कहा गया था। यह ट्रेसेबिलिटी एजेंटिक सिस्टम में घटना जांच के लिए महत्वपूर्ण है जहां Attribution जटिल है।
एजेंटिक AI के लिए डिफेंस-इन-डेप्थ
सिद्धांत पारंपरिक सुरक्षा जैसा ही रहता है: कोई एकल नियंत्रण पर्याप्त नहीं है। जो बदलता है वह यह है कि एजेंट के लिए कौन से नियंत्रण सबसे ज़्यादा मायने रखते हैं:
विस्फोट त्रिज्या कम करना: संग्रहीत प्रक्रियाओं के माध्यम से टूल बाउंड्री का मतलब है कि एक compromised एजेंट केवल पूर्वनिर्धारित ऑपरेशन निष्पादित कर सकता है। यह मनमाने क्वेरी पर pivot नहीं कर सकता।
ऑब्ज़र्वेबिलिटी: एक घटना के बाद आपको “इस एजेंट ने वास्तव में क्या किया?” का जवाब देने में सक्षम होना चाहिए। डेटाबेस स्तर की ट्रेसेबिलिटी के बिना एजेंटिक AI सिस्टम में ब्लाइंड स्पॉट हैं जो एप्लीकेशन लॉगिंग कवर नहीं करती।
प्रतिबंधित निष्पादन: पैरामीटराइज़ेशन, RLS और DDM सुरक्षा संपत्तियां हैं चाहे कॉलर मानव हो या नहीं। एजेंट को समायोजित करने के लिए इन्हें कमज़ोर न करें।
जवाबदेही: SQL Server ऑडिट लॉगिंग एक रिकॉर्ड बनाती है कि किसने (कौन सा एजेंट, कौन सी क्रेडेंशियल का उपयोग करके) कब क्या निष्पादित किया। यह तब मायने रखता है जब एजेंटिक सिस्टम वास्तविक दुनिया में परिणामों वाली क्रियाएं करते हैं।
SQL Server 2025 एजेंटिक जोखिम को अमूर्त रूप से हल करने के लिए नहीं बनाया गया था — यह एक रिलेशनल डेटाबेस के रूप में बनाया गया था। लेकिन जो गवर्नेंस एक एंटरप्राइज डेटाबेस को भरोसेमंद बनाती है, वही एक एजेंट एग्ज़ीक्यूशन बाउंड्री को सुरक्षित बनाती है।
