Modelo de Seguridad de NanoClaw para Agentes de IA: Aislamiento de Contenedores y Código Mínimo

Arquitectura de Seguridad de NanoClaw para Agentes de IA No Confiables

El blog de NanoClaw argumenta que los agentes de IA deben tratarse como no confiables y potencialmente maliciosos, abogando por un confinamiento arquitectónico en lugar de verificaciones de permisos a nivel de aplicación. El sistema se basa en el principio de que los agentes se comportarán mal y se enfoca en limitar el daño cuando lo hagan.

Aislamiento de Contenedores como Seguridad Central

NanoClaw ejecuta cada agente en su propio contenedor usando Docker o Apple Container en macOS. Estos contenedores son efímeros: se crean nuevos por cada invocación y se destruyen después. Los agentes se ejecutan como usuarios sin privilegios y solo pueden acceder a directorios montados explícitamente. Esto contrasta con el enfoque predeterminado de OpenClaw, donde los agentes se ejecutan directamente en la máquina host con un modo de sandbox de Docker opcional que la mayoría de los usuarios nunca habilita.

El límite del contenedor proporciona seguridad hermética aplicada por el sistema operativo, evitando que los agentes escapen independientemente de la configuración. Cada agente obtiene su propio contenedor, sistema de archivos e historial de sesiones de Claude, evitando fugas de información entre agentes que deben acceder a datos diferentes.

Lista de Montaje Permitida y Protecciones Predeterminadas

Una lista de montaje permitida en ~/.config/nanoclaw/mount-allowlist.json actúa como defensa en profundidad, evitando que los usuarios monten accidentalmente rutas sensibles. Directorios sensibles como .ssh, .gnupg, .aws, .env, private_key y credentials están bloqueados por defecto. La lista permitida reside fuera del directorio del proyecto para que los agentes comprometidos no puedan modificar sus propios permisos.

El código de la aplicación host se monta como solo lectura, asegurando que nada de lo que haga un agente pueda persistir después de la destrucción del contenedor. Los grupos no principales no son confiables por defecto, evitando mensajes entre grupos, programación de tareas o visualización de datos para proteger contra inyección de comandos desde miembros del grupo.

Base de Código Mínima y Revisable

NanoClaw mantiene una base de código deliberadamente mínima de un proceso y un puñado de archivos, contrastando con las aproximadamente 400,000 líneas de código, 53 archivos de configuración y más de 70 dependencias de OpenClaw. El sistema depende en gran medida del SDK de Agentes de Anthropic para la gestión de sesiones, compactación de memoria y otras funcionalidades, en lugar de reinventar componentes.

Este diseño permite que un desarrollador competente revise toda la base de código en una tarde. Las pautas de contribución aceptan solo correcciones de errores, correcciones de seguridad y simplificaciones. Las nuevas funcionalidades llegan a través de habilidades: instrucciones con implementaciones de referencia completamente funcionales que los agentes de codificación fusionan en las bases de código después de la revisión.

Cada instalación termina siendo unos pocos miles de líneas de código adaptadas a las necesidades específicas del propietario, evitando la complejidad donde normalmente se esconden las vulnerabilidades.