Endo Familiar: Entorno Aislado de Capacidad de Objetos para Agentes de IA

✍️ OpenClawRadar📅 Publicado: 24 de abril de 2026🔗 Source
Endo Familiar: Entorno Aislado de Capacidad de Objetos para Agentes de IA
Ad

El demo de Endo Familiar, construido sobre HardenedJS y el modelo de seguridad de capacidades de objetos (ocap), aborda la falla de seguridad fundamental en los marcos actuales de agentes de IA: el "problema de la bolsa de credenciales". La mayoría de los agentes hoy reciben acceso completo a sistemas de archivos, claves API y credenciales, creando un punto único de fallo donde la inyección de indicaciones o la desalineación pueden causar daños catastróficos.

Cómo funciona

En el demo, el ingeniero Kris Kowal genera un agente llamado lal con una sola capacidad: leer un manual de instrucciones. Sin acceso al sistema de archivos, sin red, sin credenciales. El agente solo puede actuar sobre lo que tiene explícitamente una referencia. Cuando se necesitan operaciones de archivos, se crea un montaje de un directorio específico, no una puerta de enlace general al sistema de archivos. El montaje no puede subir por encima de su raíz, no puede seguir enlaces simbólicos fuera del árbol y no puede escapar de sus límites por construcción. Ese montaje se entrega al agente como una referencia.

El agente luego escribe un programa que produce una vista de solo lectura de un directorio. El código generado se ejecuta en un sandbox sin capacidades ambientales. La salida es una capacidad más restringida derivada de la original, y esa capacidad restringida se devuelve al agente. En cada paso, el alcance de la autoridad se reduce exactamente a lo necesario.

Ad

Detalles técnicos clave

  • Modelo de capacidades de objetos: Una referencia es autoridad. No existe un grupo de permisos ambientales. Si el código no tiene una referencia, no puede falsificarla.
  • Sin escape de recorrido: Los montajes del sistema de archivos no pueden seguir enlaces simbólicos ni escapar de su directorio raíz.
  • Generación de código en sandbox: El agente escribe programas en un sandbox que no tiene capacidades incorporadas; todas las entradas son referencias explícitas.
  • Relé WebSocket: Un colega se conecta a través de un relé WebSocket para compartir un directorio remoto. El agente resume los archivos remotos sin saber que son remotos, solo tiene una referencia a una vista de solo lectura.

Por qué esto importa ahora

El artículo argumenta que el despliegue de agentes de IA se está acelerando peligrosamente sin una base de seguridad adecuada. El mismo error que cometieron las aplicaciones de redes sociales hace una década — otorgar todos los privilegios del usuario a código de terceros — se está repitiendo con los agentes de IA. El enfoque de Endo asegura que incluso si un agente es secuestrado mediante inyección de indicaciones, el daño se limita a las capacidades específicas que se le otorgaron.

📖 Lee la fuente completa: HN AI Agents

Ad

👀 Ver también

Error Crítico del Compañero de Trabajo: El Agente de IA Eliminó Archivos Sin la Aprobación del Usuario
Seguridad

Error Crítico del Compañero de Trabajo: El Agente de IA Eliminó Archivos Sin la Aprobación del Usuario

Un error crítico en el modo Cowork de Claude permitió que la IA ejecutara acciones destructivas sin el consentimiento del usuario. La herramienta ExitPlanMode informó falsamente la aprobación del usuario, desencadenando un agente autónomo que eliminó 12 archivos de una base de código React/TypeScript.

OpenClawRadar
Código Fuente de la Plataforma de Gobierno Electrónico de Suecia Filtrado mediante Infraestructura CGI Comprometida
Seguridad

Código Fuente de la Plataforma de Gobierno Electrónico de Suecia Filtrado mediante Infraestructura CGI Comprometida

El código fuente completo de la plataforma de gobierno electrónico de Suecia fue filtrado por el actor de amenazas ByteToBreach tras comprometer la infraestructura de CGI Sverige AB. La filtración incluye bases de datos del personal, sistemas de firma de documentos API, credenciales SSH de Jenkins y endpoints de prueba de RCE.

OpenClawRadar
La defensa de delimitadores eleva a Gemma 4 del 21% al 100% en defensa contra inyección de prompts en más de 6100 pruebas de referencia
Seguridad

La defensa de delimitadores eleva a Gemma 4 del 21% al 100% en defensa contra inyección de prompts en más de 6100 pruebas de referencia

Un benchmark probó 15 modelos en 7 tipos de ataque (más de 6100 pruebas) usando delimitadores aleatorios alrededor de contenido no confiable. Gemma 4 E4B pasó de una tasa de defensa del 21.6% al 100% con delimitador + instrucción estricta.

OpenClawRadar
Preocupaciones de Privacidad en OpenClaw: Habilidades, SOUL MD y Comunicación de Agentes
Seguridad

Preocupaciones de Privacidad en OpenClaw: Habilidades, SOUL MD y Comunicación de Agentes

Un desarrollador plantea preocupaciones de privacidad sobre la arquitectura de OpenClaw, específicamente en torno a que las habilidades tienen acceso sin restricciones a datos sensibles, que SOUL MD es editable y que los agentes comparten información sin filtros.

OpenClawRadar