AWS pridáva pre browserových agentov firemné pravidlá Chrome a vlastné certifikáty

Amazon Web Services pridáva do Amazon Bedrock AgentCore Browser dve funkcie, ktoré sú menej nápadné než nové modely, ale pre firemné nasadenie agentov môžu byť rozhodujúce. Browserová časť AgentCore po novom podporuje Chrome enterprise policies a vlastné root CA certifikáty. V praxi to znamená, že firma vie browserovému agentovi presne určiť, kam smie chodiť, čo smie ukladať, či môže sťahovať súbory, či smie používať správcu hesiel a ako sa má správať voči interným službám chráneným podnikovou certifikačnou autoritou. AWS tým rieši jednu z hlavných slabín browserových agentov: bez ohľadu na to, ako dobre sú promptované, pre bezpečnostný tím stále vyzerajú ako neriadený prehliadač s príliš veľkou voľnosťou.

Samotné oznámenie je technicky presné. AWS uvádza, že Bedrock AgentCore Browser teraz podporuje viac než 450 nastavení prehliadača dostupných cez Chrome enterprise policy mechanizmus. Ide o rovnakú triedu politík, akú podniky dlhé roky používajú na notebookoch zamestnancov. Agent tak môže dostať denylist a allowlist domén, zákaz ukladania hesiel, zákaz autofillu, obmedzenia sťahovania alebo iné nastavenia, ktoré sa presadzujú na úrovni prehliadača, nie až v aplikačnej logike konkrétneho agenta. To je podstatný posun: hranice práce agentov sa prestávajú opierať len o to, čo je napísané v promptoch alebo system inštrukciách.

AWS zároveň vysvetľuje, prečo je to pre podniky dôležité. Keď agent spracúva faktúry v jednom portáli, nepotrebuje voľný prístup na vyhľadávače, sociálne siete ani ľubovoľné externé stránky. Ak agent vypĺňa citlivé formuláre, bezpečnostné oddelenie spravidla nechce, aby mu prehliadač automaticky uchovával prihlasovacie údaje alebo aby sa súbory sťahovali mimo schváleného workflow. Browserové politiky teda nechránia len pred zlým úmyslom modelu, ale aj pred zdanlivo nevinnými vlastnosťami samotného prehliadača, ktoré v klasickej ľudskej práci neprekážajú, no pri automatizovaných agentoch zvyšujú riziko úniku dát alebo neoprávneného pohybu po webe.

Technicky je zaujímavé aj to, ako AWS oddeľuje dve vrstvy politiky. Managed policies sa nastavujú na úrovni browsera cez control plane a ukladajú sa ako povinné pravidlá, ktoré platia pre každú session vytvorenú z daného browsera. Recommended policies sa naopak dajú doplniť pri štarte konkrétnej session a správajú sa ako preferencie používateľa. Ak sú medzi nimi konflikty, nadradené managed policies vyhrávajú. Táto architektúra je blízka tomu, ako firmy dlhodobo spravujú flotily endpointov: bezpečnostný tím vynucuje tvrdé pravidlá a vývojový tím si môže dolaďovať menej citlivé preferencie bez toho, aby obchádzal korporátne limity.

Druhá novinka, teda podpora vlastných root CA certifikátov, rieši ďalší praktický problém. Veľa interných služieb, starších podnikových aplikácií alebo prostredí za SSL-inspecting proxy používa certifikáty, ktorým verejný prehliadač štandardne neverí. Bez doplnenia podnikovej CA tak agent pri pokuse o prístup naráža na chyby validácie HTTPS a nedostane sa ďalej. AWS preto umožňuje uložiť root CA certifikát do AWS Secrets Managera a pri vytváraní browsera alebo AgentCore Code Interpreteru ho pripojiť do trust store. Pre tímy, ktoré chcú agentov pustiť aj na interné wiki, self-hostované nástroje či staršie business systémy, je to dôležitejšie než ďalšia všeobecná demonštrácia browser automation.

Z prevádzkového pohľadu ide o posun od „agent vie používať web“ k „agent sa vie pohybovať len v presne schválenom webovom priestore“. To môže byť rozdiel medzi interným experimentom a reálnym produkčným nasadením. Mnohé firmy dnes nemajú problém s tým, že model vie klikať, ale s tým, že nevedia bezpečne garantovať, kde klikať nebude. Pridaním politiky na úrovni browsera AWS znižuje závislosť od promptových mantinelov a približuje agentov k bežným bezpečnostným praktikám, ktoré už podniky poznajú z identity managementu, sieťových pravidiel a správy firemných zariadení.

AWS v blogu ukazuje aj referenčný workflow: JSON politiky sú uložené v Amazon S3, browser sa vytvára cez API, session sa štartuje cez data plane a výsledná izolovaná session si pri štarte načíta povinné aj odporúčané politiky. V demonštrácii sa agent obmedzí na prácu s dokumentáciou Bedrock AgentCore a zároveň sa ukáže, ako sa dajú použiť vlastné certifikáty. Zaujímavé je, že hoci príklad používa Anthropic Claude cez Amazon Bedrock, samotný AgentCore je podľa AWS modelovo agnostický. Firma sa teda nesnaží tvrdiť, že bezpečnosť browserového agenta je vlastnosť jedného modelu, ale skôr vlastnosť obslužnej infraštruktúry.

Pre širší trh to vysiela jasný signál. Browseroví agenti sa presúvajú z fázy efektnej ukážky do fázy bezpečnostného hardeningu. A práve tu sa často láme rozhodnutie veľkých firiem, či agentom povolia prístup do reálnych procesov. AWS týmto oznámením nepridáva len ďalšiu funkciu do Bedrocku; skúša postaviť prevádzkový model, v ktorom sa agent dá zasadiť do existujúcich kontrol, auditných pravidiel a podnikovej PKI. Ak sa podobný prístup ujme, budú sa browseroví agenti hodnotiť menej podľa toho, či vedia otvoriť formulár, a viac podľa toho, či to vedia robiť v rámci presne vynútených firemných hraníc.