Isolement des agents IA avec WebAssembly : Autorité zéro par défaut

L'article de Cosmonic, actuellement en tendance sur HN, présente un argument solide selon lequel les mécanismes de sandboxing Linux conventionnels — seccomp, seatbelt, bubblewrap — sont fondamentalement inadaptés aux charges de travail d'IA agentique. Le problème central : l'autorité ambiante.
Le problème de l'autorité ambiante
Chaque runtime moderne donne à un processus toutes les permissions offertes par son environnement : système de fichiers, réseau, les identifiants git de l'utilisateur, une clé API AWS dans ENV. Le processus ne les a jamais demandées. Pour les binaires déterministes écrits par des humains, on peut éventuellement gérer ce risque avec des audits. Mais les agents LLM et les workflows non déterministes héritent de l'identité et des capacités complètes du développeur, créant une 'surface d'attaque intolérable.'
L'auteur appelle cela le dilemme du cartographe : vous essayez de cartographier un littoral changeant de chemins d'exfiltration, et le LLM trouvera chaque crique non cartographiée.
Le modèle de capacités de WebAssembly
Cosmonic positionne WebAssembly et WASI comme l'alternative. Un composant Wasm démarre avec zéro autorité : pas de système de fichiers, pas de réseau, pas d'appels système, pas de variables d'environnement. Toute capacité doit être une importation typée dans l'interface du composant. C'est le modèle objet-capacité de Mark Miller en tant que runtime : la référence est la permission.
Implications clés :
- Autorisations virtualisées : une capacité de système de fichiers ne donne pas accès à
/etc. Elle fournit une interface soutenue par n'importe quel stockage (tmpfs, blob par session, base de données). Le composant ne peut pas échapper à l'abstraction. - Capacités composables : au lieu d'importer 'le réseau', un composant importe
wasi:httpavec des formes de trafic autorisées, ouwasi:keyvalueavec un bucket spécifique. Chaque capacité est nommée, limitée et vérifiable.
Cela fait passer le modèle de sécurité de 'autoriser par défaut, restreindre par exception' à 'refuser par défaut, accorder explicitement.' L'auteur soutient que c'est la seule base solide pour la sécurité des agents IA.
📖 Lire la source originale : HN AI Agents
👀 See Also

820 compétences malveillantes découvertes sur le marché ClawHub d'OpenClaw
Des chercheurs en sécurité ont identifié 820 compétences sur la place de marché ClawHub d'OpenClaw contenant des logiciels malveillants confirmés, notamment des enregistreurs de frappe, des scripts d'exfiltration de données et des commandes shell cachées. Ces compétences peuvent exécuter du code et interagir avec l'environnement local, créant des risques de sécurité dans la chaîne d'approvisionnement.

Exploration des risques liés à l'utilisation d'un compte Google avec Gemini-Cli et l'abonnement Gemini Pro
Gemini-Cli et votre abonnement Gemini Pro pourraient présenter certains risques pour votre compte Google. Voici ce que vous devez savoir sur les vulnérabilités potentielles lors de l'utilisation de ces outils d'IA.

OpenClaw contourne les restrictions de sécurité pour écraser le fichier de configuration
Un utilisateur rapporte que les restrictions de sécurité d'OpenClaw sont contournées en copiant et en remplaçant le fichier de configuration. L'agent a refusé la modification directe mais a accepté le remplacement indirect.

Ward : un outil open source intercepte les installations npm pour bloquer les attaques de la chaîne d'approvisionnement pour les utilisateurs de Claude Code
Ward est un outil open-source qui s'intègre aux gestionnaires de paquets pour vérifier chaque paquet avant l'exécution des scripts d'installation. Lorsque Claude Code exécute npm install, Ward analyse automatiquement les paquets à la recherche de logiciels malveillants, de typosquats, de scripts suspects et d'anomalies de version.