Modèle de sécurité de NanoClaw pour les agents IA : Isolation par conteneurs et code minimal

Architecture de sécurité de NanoClaw pour les agents d'IA non fiables

Le blog NanoClaw soutient que les agents d'IA doivent être traités comme non fiables et potentiellement malveillants, préconisant un confinement architectural plutôt que des vérifications de permissions au niveau de l'application. Le système est construit sur le principe que les agents se comporteront mal et se concentre sur la limitation des dégâts lorsqu'ils le font.

L'isolation par conteneur comme sécurité fondamentale

NanoClaw exécute chaque agent dans son propre conteneur en utilisant Docker ou Apple Container sur macOS. Ces conteneurs sont éphémères - créés à neuf par invocation et détruits ensuite. Les agents s'exécutent en tant qu'utilisateurs non privilégiés et ne peuvent accéder qu'aux répertoires explicitement montés. Cela contraste avec l'approche par défaut d'OpenClaw où les agents s'exécutent directement sur la machine hôte avec un mode bac à sable Docker facultatif que la plupart des utilisateurs n'activent jamais.

La limite du conteneur fournit une sécurité hermétique appliquée par le système d'exploitation, empêchant les agents de s'échapper quelle que soit la configuration. Chaque agent obtient son propre conteneur, système de fichiers et historique de session Claude, empêchant la fuite d'informations entre les agents qui sont censés accéder à des données différentes.

Liste d'autorisation de montage et protections par défaut

Une liste d'autorisation de montage à ~/.config/nanoclaw/mount-allowlist.json agit comme une défense en profondeur, empêchant les utilisateurs de monter accidentellement des chemins sensibles. Les répertoires sensibles comme .ssh, .gnupg, .aws, .env, private_key et credentials sont bloqués par défaut. La liste d'autorisation se trouve en dehors du répertoire du projet afin que les agents compromis ne puissent pas modifier leurs propres permissions.

Le code de l'application hôte est monté en lecture seule, garantissant que rien de ce qu'un agent fait ne peut persister après la destruction du conteneur. Les groupes non principaux ne sont pas fiables par défaut, empêchant la messagerie inter-groupes, la planification de tâches ou la visualisation de données pour se protéger contre l'injection de prompt provenant des membres du groupe.

Base de code minimale et révisable

NanoClaw maintient délibérément une base de code minimale d'un processus et d'une poignée de fichiers, contrastant avec les environ 400 000 lignes de code, 53 fichiers de configuration et plus de 70 dépendances d'OpenClaw. Le système s'appuie fortement sur le SDK d'agent d'Anthropic pour la gestion des sessions, la compaction de la mémoire et d'autres fonctionnalités au lieu de réinventer les composants.

Cette conception permet à un développeur compétent de réviser l'intégralité de la base de code en une après-midi. Les directives de contribution n'acceptent que les corrections de bugs, les corrections de sécurité et les simplifications. Les nouvelles fonctionnalités arrivent via des compétences - des instructions avec des implémentations de référence complètes et fonctionnelles que les agents de codage fusionnent dans les bases de code après révision.

Chaque installation se termine par quelques milliers de lignes de code adaptées aux besoins spécifiques du propriétaire, évitant la complexité où les vulnérabilités se cachent généralement.