Aislamiento de Agentes de IA con WebAssembly: Autoridad Cero por Defecto

✍️ OpenClawRadar📅 Publicado: 9 de mayo de 2026🔗 Source
Aislamiento de Agentes de IA con WebAssembly: Autoridad Cero por Defecto
Ad

La publicación de Cosmonic, actualmente tendencia en HN, defiende firmemente que los mecanismos tradicionales de sandboxing en Linux — seccomp, seatbelt, bubblewrap — son fundamentalmente inadecuados para cargas de trabajo de IA agéntica. El problema central: autoridad ambiental.

El problema de la autoridad ambiental

Cada runtime moderno otorga a un proceso los permisos que su entorno proporciona: sistema de archivos, red, credenciales git del usuario, una clave API de AWS en ENV. El proceso nunca las solicitó. Para binarios humanos deterministas, quizás se pueda gestionar este riesgo con auditorías. Pero los agentes LLM y flujos de trabajo no deterministas heredan la identidad y capacidades completas del desarrollador, creando una 'superficie de ataque intolerable'.

El autor lo llama el dilema del cartógrafo: estás intentando mapear una costa cambiante de rutas de exfiltración, y el LLM encontrará cada cala no cartografiada.

Ad

Modelo de capacidades de WebAssembly

Cosmonic posiciona a WebAssembly y WASI como la alternativa. Un componente Wasm comienza con cero autoridad: sin sistema de archivos, sin red, sin syscalls, sin variables de entorno. Cualquier capacidad debe ser un import tipado en la interfaz del componente. Este es el modelo de objeto-capacidad de Mark Miller como runtime: la referencia es el permiso.

Implicaciones clave:

  • Concesiones virtualizadas: una capacidad de sistema de archivos no entrega /etc. Proporciona una interfaz respaldada por cualquier almacenamiento (tmpfs, blob por sesión, base de datos). El componente no puede escapar de la abstracción.
  • Capacidades componibles: en lugar de importar 'la red', un componente importa wasi:http con formas de tráfico permitidas, o wasi:keyvalue con un bucket específico. Cada capacidad es nombrada, acotada y revisable.

Esto cambia el modelo de seguridad de 'permitir por defecto, restringir por excepción' a 'denegar por defecto, conceder explícitamente'. El autor argumenta que esta es la única base sólida para la seguridad de agentes de IA.

📖 Read the full source: HN AI Agents

Ad

👀 Ver también