WebAssemblyによるAIエージェントのサンドボックス化：デフォルトでゼロ権限

現在HNで話題となっているCosmonicの投稿は、従来のLinuxサンドボックス化メカニズム — seccomp、seatbelt、bubblewrap — がエージェンティックAIワークロードに根本的に不適切であると強く主張しています。核心的な問題は「環境権限（ambient authority）」です。

環境権限の問題

現代のすべてのランタイムは、プロセスに対してその環境が提供するあらゆる権限（ファイルシステム、ネットワーク、ユーザーのgit認証情報、ENV内のAWS APIキーなど）を与えます。プロセスはそれらを要求していません。決定論的な人間が書いたバイナリであれば、監査でリスクを管理できるかもしれません。しかし、LLMエージェントや非決定論的なワークフローは、開発者の完全な身元と能力を継承し、「耐え難い攻撃対象領域」を生み出します。

著者はこれを地図製作者のジレンマと呼んでいます。すなわち、絶えず変化するデータ流出経路の海岸線をマッピングしようとしているのに、LLMがすべての未マッピングの入り江を見つけてしまう、というものです。

WebAssemblyのケイパビリティモデル

Cosmonicは、代替案としてWebAssemblyとWASIを位置づけています。Wasmコンポーネントはゼロ権限で起動します。ファイルシステムもネットワークもシステムコールも環境変数もありません。あらゆるケイパビリティは、コンポーネントのインターフェースにおける型付きインポートでなければなりません。これはMark Millerのオブジェクトケイパビリティモデルをランタイムとして実装したもので、参照自体が権限となります。

主な含意は以下の通りです。

• 仮想化された付与: ファイルシステムのケイパビリティは/etcをそのまま渡すわけではありません。任意のストア（tmpfs、セッションごとのblob、データベース）にバックアップされたインターフェースを提供します。コンポーネントは抽象化を超えることができません。
• 合成可能なケイパビリティ: コンポーネントは「ネットワーク」をインポートする代わりに、許可されたトラフィック形状を持つwasi:httpや、特定のバケットを持つwasi:keyvalueをインポートします。すべてのケイパビリティは名前付けされ、スコープ化され、レビュー可能です。

これにより、セキュリティモデルが「デフォルトで許可、例外で制限」から「デフォルトで拒否、明示的に付与」に変わります。著者は、これがAIエージェントセキュリティの唯一の健全な基盤であると主張しています。