Endo Familiar: AIエージェント向けオブジェクトケイパビリティサンドボックス

HardenedJSとオブジェクトキャパビリティ（ocap）セキュリティモデルに基づくEndo Familiarデモは、現在のAIエージェントフレームワークの根本的なセキュリティ欠陥である「資格情報バッグ問題」に対処します。現在のほとんどのエージェントは、ファイルシステム、APIキー、資格情報へのフルアクセスを付与され、プロンプトインジェクションや不整合によって壊滅的な被害をもたらす単一障害点を生み出しています。

仕組み

デモでは、エンジニアのKris Kowalがlalというエージェントを生成し、単一の権限（指示プライマーの読み取り）を与えます。ファイルシステムアクセス、ネットワーク、資格情報は一切ありません。エージェントは明示的に保持する参照に対してのみ行動できます。ファイル操作が必要な場合、一般的なファイルシステムゲートウェイではなく、特定のディレクトリのマウントが作成されます。このマウントはルートより上に移動できず、シンボリックリンクをツリー外にたどることができず、構造上その境界を超えることはできません。そのマウントが参照としてエージェントに渡されます。

次にエージェントは、ディレクトリの読み取り専用ビューを生成するプログラムを作成します。生成されたコードは、環境権限を持たないサンドボックスで実行されます。出力は元の権限から派生したより狭い権限であり、その狭められた権限がエージェントに返されます。各ステップで、権限の範囲は必要なものだけに縮小されます。

主要な技術的詳細

• オブジェクトキャパビリティモデル: 参照が権限そのものです。環境権限のプールは存在しません。コードが参照を保持していなければ、偽造することはできません。
• トラバーサルエスケープなし: ファイルシステムマウントはシンボリックリンクをたどったり、ルートディレクトリから脱出したりできません。
• サンドボックス化されたコード生成: エージェントは組み込み権限を持たないサンドボックス内でプログラムを作成します。すべての入力は明示的な参照です。
• WebSocketリレー: 同僚がWebSocketリレーを通じてリモートディレクトリを共有します。エージェントはリモートファイルを知ることなく要約します。読み取り専用ビューへの参照のみを保持しているためです。

今、これが重要な理由

この記事は、AIエージェントの展開が適切なセキュリティ基盤なしに危険なほど加速していると主張しています。10年前にソーシャルメディアアプリが犯した誤り（サードパーティコードに完全なユーザー権限を付与すること）が、AIエージェントでも繰り返されています。Endoアプローチは、エージェントがプロンプトインジェクションで乗っ取られたとしても、被害を付与された特定の権限に限定することを保証します。