Endo Familiar: Entorno Aislado de Capacidad de Objetos para Agentes de IA

El demo de Endo Familiar, construido sobre HardenedJS y el modelo de seguridad de capacidades de objetos (ocap), aborda la falla de seguridad fundamental en los marcos actuales de agentes de IA: el "problema de la bolsa de credenciales". La mayoría de los agentes hoy reciben acceso completo a sistemas de archivos, claves API y credenciales, creando un punto único de fallo donde la inyección de indicaciones o la desalineación pueden causar daños catastróficos.

Cómo funciona

En el demo, el ingeniero Kris Kowal genera un agente llamado lal con una sola capacidad: leer un manual de instrucciones. Sin acceso al sistema de archivos, sin red, sin credenciales. El agente solo puede actuar sobre lo que tiene explícitamente una referencia. Cuando se necesitan operaciones de archivos, se crea un montaje de un directorio específico, no una puerta de enlace general al sistema de archivos. El montaje no puede subir por encima de su raíz, no puede seguir enlaces simbólicos fuera del árbol y no puede escapar de sus límites por construcción. Ese montaje se entrega al agente como una referencia.

El agente luego escribe un programa que produce una vista de solo lectura de un directorio. El código generado se ejecuta en un sandbox sin capacidades ambientales. La salida es una capacidad más restringida derivada de la original, y esa capacidad restringida se devuelve al agente. En cada paso, el alcance de la autoridad se reduce exactamente a lo necesario.

Detalles técnicos clave

• Modelo de capacidades de objetos: Una referencia es autoridad. No existe un grupo de permisos ambientales. Si el código no tiene una referencia, no puede falsificarla.
• Sin escape de recorrido: Los montajes del sistema de archivos no pueden seguir enlaces simbólicos ni escapar de su directorio raíz.
• Generación de código en sandbox: El agente escribe programas en un sandbox que no tiene capacidades incorporadas; todas las entradas son referencias explícitas.
• Relé WebSocket: Un colega se conecta a través de un relé WebSocket para compartir un directorio remoto. El agente resume los archivos remotos sin saber que son remotos, solo tiene una referencia a una vista de solo lectura.

Por qué esto importa ahora

El artículo argumenta que el despliegue de agentes de IA se está acelerando peligrosamente sin una base de seguridad adecuada. El mismo error que cometieron las aplicaciones de redes sociales hace una década — otorgar todos los privilegios del usuario a código de terceros — se está repitiendo con los agentes de IA. El enfoque de Endo asegura que incluso si un agente es secuestrado mediante inyección de indicaciones, el daño se limita a las capacidades específicas que se le otorgaron.