Aislamiento de Agentes de IA con WebAssembly: Autoridad Cero por Defecto
La publicación de Cosmonic, actualmente tendencia en HN, defiende firmemente que los mecanismos tradicionales de sandboxing en Linux — seccomp, seatbelt, bubblewrap — son fundamentalmente inadecuados para cargas de trabajo de IA agéntica. El problema central: autoridad ambiental.
El problema de la autoridad ambiental
Cada runtime moderno otorga a un proceso los permisos que su entorno proporciona: sistema de archivos, red, credenciales git del usuario, una clave API de AWS en ENV. El proceso nunca las solicitó. Para binarios humanos deterministas, quizás se pueda gestionar este riesgo con auditorías. Pero los agentes LLM y flujos de trabajo no deterministas heredan la identidad y capacidades completas del desarrollador, creando una 'superficie de ataque intolerable'.
El autor lo llama el dilema del cartógrafo: estás intentando mapear una costa cambiante de rutas de exfiltración, y el LLM encontrará cada cala no cartografiada.
Modelo de capacidades de WebAssembly
Cosmonic posiciona a WebAssembly y WASI como la alternativa. Un componente Wasm comienza con cero autoridad: sin sistema de archivos, sin red, sin syscalls, sin variables de entorno. Cualquier capacidad debe ser un import tipado en la interfaz del componente. Este es el modelo de objeto-capacidad de Mark Miller como runtime: la referencia es el permiso.
Implicaciones clave:
- Concesiones virtualizadas: una capacidad de sistema de archivos no entrega
/etc. Proporciona una interfaz respaldada por cualquier almacenamiento (tmpfs, blob por sesión, base de datos). El componente no puede escapar de la abstracción. - Capacidades componibles: en lugar de importar 'la red', un componente importa
wasi:httpcon formas de tráfico permitidas, owasi:keyvaluecon un bucket específico. Cada capacidad es nombrada, acotada y revisable.
Esto cambia el modelo de seguridad de 'permitir por defecto, restringir por excepción' a 'denegar por defecto, conceder explícitamente'. El autor argumenta que esta es la única base sólida para la seguridad de agentes de IA.
📖 Read the full source: HN AI Agents
👀 Ver también
Agentes de IA permiten que hackers solitarios vulneren gobiernos y campañas de ransomware
Un operador solitario que utilizó Claude Code y ChatGPT exfiltró 150 GB de agencias gubernamentales mexicanas, incluyendo 195 millones de registros de contribuyentes. Otro atacante usó Claude Code para ejecutar una campaña de extorsión integral contra 17 organizaciones de atención médica y servicios de emergencia.
Usuario de OpenClaw Agrega TOTP 2FA Después de que Agente Expusiera Claves API en Texto Plano
Un usuario de OpenClaw creó una habilidad de seguridad llamada 'Secure Reveal' que requiere autenticación TOTP a través de Telegram antes de mostrar las credenciales almacenadas, después de que su agente de IA filtrara accidentalmente claves API y contraseñas en texto plano durante una demostración.
arifOS: Un núcleo de gobernanza MCP de $15 millones para la seguridad de la herramienta OpenClaw
arifOS es un servidor MCP ligero que intercepta las llamadas a herramientas de OpenClaw, las puntúa de 000 a 999 y bloquea acciones inseguras con 13 pisos de seguridad duros antes de que lleguen a sistemas de archivos, APIs o bases de datos.
La Arquitectura OpenClaw de Confianza Cero Agrega Autorización Pre-Ejecución y Verificación Post-Ejecución.
Una arquitectura de código abierto para OpenClaw añade dos puntos de control de seguridad: un sidecar en Rust que intercepta las llamadas a herramientas antes de su ejecución con una sobrecarga de autorización submilisegundo, y una verificación determinista posterior a la ejecución que utiliza aserciones en lugar del juicio de un LLM. El sistema incluye trazabilidad con instantáneas del DOM y capturas de pantalla, además de una habilidad de compresión del DOM que reduce el uso de tokens en un 90-99%.