Endo Familiar: AIエージェント向けオブジェクトケイパビリティサンドボックス

HardenedJSとオブジェクトキャパビリティ(ocap)セキュリティモデルに基づくEndo Familiarデモは、現在のAIエージェントフレームワークの根本的なセキュリティ欠陥である「資格情報バッグ問題」に対処します。現在のほとんどのエージェントは、ファイルシステム、APIキー、資格情報へのフルアクセスを付与され、プロンプトインジェクションや不整合によって壊滅的な被害をもたらす単一障害点を生み出しています。
仕組み
デモでは、エンジニアのKris Kowalがlalというエージェントを生成し、単一の権限(指示プライマーの読み取り)を与えます。ファイルシステムアクセス、ネットワーク、資格情報は一切ありません。エージェントは明示的に保持する参照に対してのみ行動できます。ファイル操作が必要な場合、一般的なファイルシステムゲートウェイではなく、特定のディレクトリのマウントが作成されます。このマウントはルートより上に移動できず、シンボリックリンクをツリー外にたどることができず、構造上その境界を超えることはできません。そのマウントが参照としてエージェントに渡されます。
次にエージェントは、ディレクトリの読み取り専用ビューを生成するプログラムを作成します。生成されたコードは、環境権限を持たないサンドボックスで実行されます。出力は元の権限から派生したより狭い権限であり、その狭められた権限がエージェントに返されます。各ステップで、権限の範囲は必要なものだけに縮小されます。
主要な技術的詳細
- オブジェクトキャパビリティモデル: 参照が権限そのものです。環境権限のプールは存在しません。コードが参照を保持していなければ、偽造することはできません。
- トラバーサルエスケープなし: ファイルシステムマウントはシンボリックリンクをたどったり、ルートディレクトリから脱出したりできません。
- サンドボックス化されたコード生成: エージェントは組み込み権限を持たないサンドボックス内でプログラムを作成します。すべての入力は明示的な参照です。
- WebSocketリレー: 同僚がWebSocketリレーを通じてリモートディレクトリを共有します。エージェントはリモートファイルを知ることなく要約します。読み取り専用ビューへの参照のみを保持しているためです。
今、これが重要な理由
この記事は、AIエージェントの展開が適切なセキュリティ基盤なしに危険なほど加速していると主張しています。10年前にソーシャルメディアアプリが犯した誤り(サードパーティコードに完全なユーザー権限を付与すること)が、AIエージェントでも繰り返されています。Endoアプローチは、エージェントがプロンプトインジェクションで乗っ取られたとしても、被害を付与された特定の権限に限定することを保証します。
📖 全文を読む: HN AI Agents
👀 See Also

ClawScan + VirusTotalを通過した5つの悪意あるOpenClawスキル:Unit 42分析
Unit 42は、ClawScanとVirusTotalの両方を通過した悪意のあるOpenClawスキルを5つ特定しました。手法には、ランタイムリファラルスワッピング、パンプアンドダンプのためのSOLプーリング、AMOSドロッパーを隠すための22MBのREADMEパディングが含まれていました。

arifOS:OpenClawツールセキュリティのための1500万ドルMCPガバナンスカーネル
arifOSは軽量なMCPサーバーで、OpenClawツール呼び出しを傍受し、000-999でスコアリングし、ファイルシステム、API、データベースに到達する前に13の厳格なセキュリティフロアで安全でないアクションをブロックします。

MCPサーバーCVE公開マッピングとパブリックAPIのリリース
研究者たちは数千のMCPサーバーにわたるCVEエクスポージャーをマッピングし、依存関係の脆弱性をクエリするための公開APIを構築しました。このAPIでは、リポジトリ名やサーバー名での検索、深刻度によるフィルタリング、CVE数や新着順での並べ替えが可能です。

LLMエージェントにおけるツール権限注入:ツール出力がシステム意図を上書きする場合
研究者がローカルLLMエージェントラボを構築し、「ツール権限インジェクション」を実証しました。これは、AIエージェントにおいてツールの出力がシステムの意図を上書きするシナリオです。