El Problema del Guardia Uniformado: Por qué los Sandboxes de Agentes Necesitan Identidad, No Solo Política

El Problema del Guardia Uniformado destaca una falla crítica en los sandboxes de agentes de IA como openshell de Nemoclaw: las políticas de seguridad se aplican a los binarios, no a los agentes. Esto permite que el malware, como la cepa Shai-Hulud, viva de la tierra reutilizando los mismos binarios que su agente tiene permitido ejecutar. La solución propuesta es una capa de identidad de agente de código abierto llamada ZeroID, actualmente disponible como habilidad en ClawHub y como sidecar para control fuera de banda.
Problema clave: Políticas de alcance binario
El sandbox openshell de Nemoclaw aplica políticas a nivel de binarios. Por ejemplo, si su agente puede ejecutar /usr/bin/curl, cualquier proceso con ese binario —incluyendo malware— puede ejecutarlo. Esto significa que una carga maliciosa puede descargar y ejecutar código arbitrario usando las herramientas permitidas del agente. El sandbox no ofrece ningún mecanismo para distinguir entre una acción legítima del agente y una acción maliciosa que usa el mismo binario.
Solución: Identidad respaldada por agente
ZeroID cambia la seguridad de políticas de alcance binario a políticas de alcance de agente. Cada agente recibe una identidad criptográfica, y las políticas se aplican en función de esa identidad. Esto evita que el malware aproveche los binarios permitidos por el agente, ya que el malware carece de la identidad del agente. La capa de identidad puede operar en dos modos:
- Habilidad de ClawHub: Instale ZeroID como una habilidad en ClawHub, sin necesidad de cambios en la infraestructura.
- Integración como sidecar: Ejecute ZeroID como un proceso sidecar para control fuera de banda, interceptando las llamadas al sistema y validando la identidad antes de la ejecución.
Detalles de implementación
Según la fuente, ZeroID es de código abierto y actualmente se integra con Openclaw. El equipo invita a la comunidad a probarlo y ayudar a expandir la integración con Openclaw. No se proporcionaron números de versión ni fragmentos de código en la fuente, pero la arquitectura sidecar sugiere un demonio ligero que se engancha en el entorno de ejecución del agente.
Para quién es
Desarrolladores que ejecutan agentes de codificación de IA en Openclaw y necesitan un aislamiento más fuerte contra malware que evita el sandboxing a nivel de binario.
📖 Lea la fuente original: r/openclaw
👀 Ver también

Escaneo Gratuito de Habilidades de Claude para Detectar Riesgos de Seguridad en Otras Habilidades
Un desarrollador ha creado una habilidad gratuita de Claude que revisa la seguridad de otras habilidades de Claude, verificando el código en busca de comportamientos potencialmente maliciosos y analizando repositorios con un enfoque de tarjeta de puntuación. La herramienta ayuda a responder si una habilidad de Claude parece razonablemente segura de usar.

Escáner de Inyección de Solicitudes en Modelos Locales para la Seguridad de Habilidades de IA
Una herramienta de prueba de concepto escanea habilidades de IA de terceros en busca de inyecciones ocultas de comandos bash utilizando un modelo local sin capacidad de llamadas a herramientas como mistral-small:latest en Ollama, abordando vulnerabilidades de seguridad en la función del operador ! de Claude Code.

La defensa de delimitadores eleva a Gemma 4 del 21% al 100% en defensa contra inyección de prompts en más de 6100 pruebas de referencia
Un benchmark probó 15 modelos en 7 tipos de ataque (más de 6100 pruebas) usando delimitadores aleatorios alrededor de contenido no confiable. Gemma 4 E4B pasó de una tasa de defensa del 21.6% al 100% con delimitador + instrucción estricta.

La vulnerabilidad de Snowflake Cortex Code CLI permitió la evasión del entorno de pruebas y la ejecución de malware
Una vulnerabilidad en Snowflake Cortex Code CLI versión 1.0.25 y anteriores permitía la ejecución arbitraria de comandos sin aprobación humana mediante la omisión de sustitución de procesos, lo que posibilitaba la instalación de malware y el escape del entorno aislado a través de inyección de comandos indirecta.