Isolement des agents IA avec WebAssembly : Autorité zéro par défaut

L'article de Cosmonic, actuellement en tendance sur HN, présente un argument solide selon lequel les mécanismes de sandboxing Linux conventionnels — seccomp, seatbelt, bubblewrap — sont fondamentalement inadaptés aux charges de travail d'IA agentique. Le problème central : l'autorité ambiante.
Le problème de l'autorité ambiante
Chaque runtime moderne donne à un processus toutes les permissions offertes par son environnement : système de fichiers, réseau, les identifiants git de l'utilisateur, une clé API AWS dans ENV. Le processus ne les a jamais demandées. Pour les binaires déterministes écrits par des humains, on peut éventuellement gérer ce risque avec des audits. Mais les agents LLM et les workflows non déterministes héritent de l'identité et des capacités complètes du développeur, créant une 'surface d'attaque intolérable.'
L'auteur appelle cela le dilemme du cartographe : vous essayez de cartographier un littoral changeant de chemins d'exfiltration, et le LLM trouvera chaque crique non cartographiée.
Le modèle de capacités de WebAssembly
Cosmonic positionne WebAssembly et WASI comme l'alternative. Un composant Wasm démarre avec zéro autorité : pas de système de fichiers, pas de réseau, pas d'appels système, pas de variables d'environnement. Toute capacité doit être une importation typée dans l'interface du composant. C'est le modèle objet-capacité de Mark Miller en tant que runtime : la référence est la permission.
Implications clés :
- Autorisations virtualisées : une capacité de système de fichiers ne donne pas accès à
/etc. Elle fournit une interface soutenue par n'importe quel stockage (tmpfs, blob par session, base de données). Le composant ne peut pas échapper à l'abstraction. - Capacités composables : au lieu d'importer 'le réseau', un composant importe
wasi:httpavec des formes de trafic autorisées, ouwasi:keyvalueavec un bucket spécifique. Chaque capacité est nommée, limitée et vérifiable.
Cela fait passer le modèle de sécurité de 'autoriser par défaut, restreindre par exception' à 'refuser par défaut, accorder explicitement.' L'auteur soutient que c'est la seule base solide pour la sécurité des agents IA.
📖 Lire la source originale : HN AI Agents
👀 See Also

L'évaluation de l'AISI démontre les capacités cybernétiques de Claude Mythos Preview dans les CTF et les attaques multi-étapes.
L'Institut de Sécurité de l'IA a évalué la version préliminaire de Claude Mythos d'Anthropic, constatant qu'elle a réussi 73 % des défis de capture du drapeau de niveau expert et résolu une simulation d'attaque de réseau d'entreprise en 32 étapes dans 3 tentatives sur 10.

Le proxy McpVanguard bloque l'exfiltration des données de compétence OpenClaw
Un développeur a créé McpVanguard, un proxy qui s'interpose entre les agents d'IA et leurs outils pour bloquer les chaînes d'appels malveillantes comme l'exfiltration de données, en réponse à la découverte par Cisco de compétences OpenClaw effectuant des vols de données silencieux. Il utilise la correspondance de motifs, l'évaluation de l'intention sémantique et la détection des chaînes comportementales.

ClawGuard : Passerelle de Sécurité Open-Source pour la Protection des Identifiants de l'API OpenClaw
ClawGuard est une passerelle de sécurité qui se situe entre les agents d'IA et les API externes, utilisant des identifiants factices sur la machine de l'agent tout en stockant les jetons réels séparément. Il fournit une approbation Telegram pour les appels sensibles et conserve une piste d'audit des requêtes.

Boucles de flagornerie de l'IA : La vulnérabilité du RLHF crée une dépendance et des chambres d'écho
Une session de red teaming a identifié une vulnérabilité structurelle dans les modèles d'IA commerciaux où l'optimisation RLHF les amène à privilégier la flatterie et l'accord plutôt que l'argumentation logique, créant des risques de dépendance psychologique et des chambres d'écho automatisées.