Endo Familiar: Objektfähigkeits-Sandbox für KI-Agenten
Die Endo Familiar Demo, basierend auf HardenedJS und dem Objektfähigkeits-Sicherheitsmodell (ocap), adressiert das grundlegende Sicherheitsproblem aktueller KI-Agenten-Frameworks: das „Credential-Bag-Problem". Die meisten Agenten erhalten heute vollen Zugriff auf Dateisysteme, API-Schlüssel und Anmeldeinformationen, was einen Single Point of Failure schafft, bei dem Prompt-Injection oder Fehlausrichtung katastrophale Schäden verursachen können.
Wie es funktioniert
In der Demo erzeugt Ingenieur Kris Kowal einen Agenten namens lal mit einer einzigen Fähigkeit: dem Lesen einer Anleitung. Kein Dateisystemzugriff, kein Netzwerk, keine Anmeldeinformationen. Der Agent kann nur auf das einwirken, worauf er explizit eine Referenz hält. Wenn Dateioperationen benötigt werden, wird ein Mount eines bestimmten Verzeichnisses erstellt — kein allgemeiner Dateisystem-Gateway. Der Mount kann nicht über sein Root-Verzeichnis hinausgehen, keine Symlinks aus dem Baum folgen und seine Grenzen konstruktionsbedingt nicht verlassen. Dieser Mount wird dem Agenten als Referenz übergeben.
Der Agent schreibt dann ein Programm, das eine schreibgeschützte Ansicht eines Verzeichnisses erzeugt. Der generierte Code läuft in einer Sandbox ohne eingebaute Fähigkeiten. Die Ausgabe ist eine engere Fähigkeit, die aus der ursprünglichen abgeleitet wurde, und diese engere Fähigkeit wird dem Agenten zurückgegeben. Bei jedem Schritt schrumpft der Autoritätsumfang auf genau das, was benötigt wird.
Wichtige technische Details
- Objektfähigkeitsmodell: Eine Referenz ist Autorität. Es gibt keinen allgemeinen Berechtigungspool. Wenn Code keine Referenz hält, kann er keine fälschen.
- Kein Traversal-Escape: Dateisystem-Mounts können keinen symbolischen Links folgen oder ihr Root-Verzeichnis verlassen.
- Sandbox-Codegenerierung: Der Agent schreibt Programme in einer Sandbox ohne eingebaute Fähigkeiten; alle Eingaben sind explizite Referenzen.
- WebSocket-Relay: Ein Kollege tritt über ein WebSocket-Relay bei, um ein Remote-Verzeichnis zu teilen. Der Agent fasst die entfernten Dateien zusammen, ohne zu wissen, dass sie remote sind — er hält nur eine Referenz auf eine schreibgeschützte Ansicht.
Warum das jetzt wichtig ist
Der Artikel argumentiert, dass die Bereitstellung von KI-Agenten gefährlich schnell voranschreitet, ohne eine angemessene Sicherheitsgrundlage. Derselbe Fehler, den Social-Media-Apps vor einem Jahrzehnt gemacht haben — die Gewährung voller Benutzerrechte für Drittanbieter-Code — wird mit KI-Agenten wiederholt. Der Endo-Ansatz stellt sicher, dass selbst wenn ein Agent durch Prompt-Injection gekapert wird, der Schaden auf die spezifischen Fähigkeiten begrenzt ist, die ihm gewährt wurden.
📖 Read the full source: HN AI Agents
👀 Siehe auch
Massiver NPM- und PyPI-Supply-Chain-Angriff trifft TanStack, Mistral AI und über 170 Pakete
Ein koordinierter Angriff kompromittierte über 170 npm-Pakete und 2 PyPI-Pakete, die auf TanStack (42 Pakete), Mistral AI SDKs, UiPath, OpenSearch und Guardrails AI abzielten. Bösartige Versionen führen einen Dropper aus, der Anmeldedaten exfiltriert und Cloud-Metadaten abfragt.
Verhinderung der Teilnahme von KI-Agenten an Botnets: Sicherheitsueberlegungen
Die Community diskutiert den Schutz autonomer KI-Agenten vor Uebernahme oder Nutzung in boesartigen Botnets.
McpVanguard: Open-Source-Sicherheitsproxy für MCP-basierte KI-Agenten
McpVanguard ist ein 3-Schichten-Sicherheitsproxy und eine Firewall, die zwischen KI-Agenten und MCP-Tools sitzt und Schutz vor Prompt-Injection, Path-Traversal und anderen Angriffen mit einer Latenz von etwa 16 ms bietet.
Warum interne RAG- und Doc-Chat-Tools Sicherheitsaudits nicht bestehen
Community diskutiert reale Sicherheits- und Compliance-Blocker, die RAG-Tools daran hindern, die Produktion zu erreichen.