Modèle de sécurité de NanoClaw pour les agents IA : Isolation par conteneurs et code minimal

Architecture de sécurité de NanoClaw pour les agents d'IA non fiables
Le blog NanoClaw soutient que les agents d'IA doivent être traités comme non fiables et potentiellement malveillants, préconisant un confinement architectural plutôt que des vérifications de permissions au niveau de l'application. Le système est construit sur le principe que les agents se comporteront mal et se concentre sur la limitation des dégâts lorsqu'ils le font.
L'isolation par conteneur comme sécurité fondamentale
NanoClaw exécute chaque agent dans son propre conteneur en utilisant Docker ou Apple Container sur macOS. Ces conteneurs sont éphémères - créés à neuf par invocation et détruits ensuite. Les agents s'exécutent en tant qu'utilisateurs non privilégiés et ne peuvent accéder qu'aux répertoires explicitement montés. Cela contraste avec l'approche par défaut d'OpenClaw où les agents s'exécutent directement sur la machine hôte avec un mode bac à sable Docker facultatif que la plupart des utilisateurs n'activent jamais.
La limite du conteneur fournit une sécurité hermétique appliquée par le système d'exploitation, empêchant les agents de s'échapper quelle que soit la configuration. Chaque agent obtient son propre conteneur, système de fichiers et historique de session Claude, empêchant la fuite d'informations entre les agents qui sont censés accéder à des données différentes.
Liste d'autorisation de montage et protections par défaut
Une liste d'autorisation de montage à ~/.config/nanoclaw/mount-allowlist.json agit comme une défense en profondeur, empêchant les utilisateurs de monter accidentellement des chemins sensibles. Les répertoires sensibles comme .ssh, .gnupg, .aws, .env, private_key et credentials sont bloqués par défaut. La liste d'autorisation se trouve en dehors du répertoire du projet afin que les agents compromis ne puissent pas modifier leurs propres permissions.
Le code de l'application hôte est monté en lecture seule, garantissant que rien de ce qu'un agent fait ne peut persister après la destruction du conteneur. Les groupes non principaux ne sont pas fiables par défaut, empêchant la messagerie inter-groupes, la planification de tâches ou la visualisation de données pour se protéger contre l'injection de prompt provenant des membres du groupe.
Base de code minimale et révisable
NanoClaw maintient délibérément une base de code minimale d'un processus et d'une poignée de fichiers, contrastant avec les environ 400 000 lignes de code, 53 fichiers de configuration et plus de 70 dépendances d'OpenClaw. Le système s'appuie fortement sur le SDK d'agent d'Anthropic pour la gestion des sessions, la compaction de la mémoire et d'autres fonctionnalités au lieu de réinventer les composants.
Cette conception permet à un développeur compétent de réviser l'intégralité de la base de code en une après-midi. Les directives de contribution n'acceptent que les corrections de bugs, les corrections de sécurité et les simplifications. Les nouvelles fonctionnalités arrivent via des compétences - des instructions avec des implémentations de référence complètes et fonctionnelles que les agents de codage fusionnent dans les bases de code après révision.
Chaque installation se termine par quelques milliers de lignes de code adaptées aux besoins spécifiques du propriétaire, évitant la complexité où les vulnérabilités se cachent généralement.
📖 Lire la source complète : HN LLM Tools
👀 See Also

Claude Code continue de journaliser les sessions après une révocation, un utilisateur signale un silence de 2 semaines du support
Un utilisateur de Claude Code signale que les journaux de session continuaient d'apparaître après avoir révoqué l'accès, le support d'Anthropic restant sans réponse pendant deux semaines. Les journaux incluaient des étendues comme user:file_upload, user:ccr_inference et user:sessions:claude_code.

Instances de Paperclip non sécurisées exposant des tableaux de bord en direct via la recherche Google
Un utilisateur de Reddit a découvert un tableau de bord Paperclip en direct avec toutes les données organisationnelles indexées par Google après avoir recherché une erreur. L'instance était exposée publiquement sans authentification, révélant les organigrammes, les conversations des agents, les affectations de tâches et les plans d'affaires.

Correction architecturale pour la sur-centralisation des agents IA : séparation de la mémoire, de l'exécution et des actions sortantes
Un développeur a réalisé que son assistant IA devenait un 'autocrate interne' en gérant la mémoire à long terme, l'accès aux outils et les décisions autonomes dans un seul composant. La solution a consisté à séparer le système en trois rôles : contrôleur privé, travailleurs à portée limitée et porte de sortie.

OpenClaw Durcissement de la Sécurité : Protection Multi-couches Contre les Risques des Agents Autonomes
Un développeur a modifié la base de code d'OpenClaw pour ajouter une pile de sécurité multicouche comprenant une protection regex à refus catégorique, un désobfuscateur récursif, un profil AppArmor et une intégration d'audit afin d'empêcher les commandes destructrices et l'exfiltration de données par des agents autonomes.