WebAssemblyによるAIエージェントのサンドボックス化:デフォルトでゼロ権限

現在HNで話題となっているCosmonicの投稿は、従来のLinuxサンドボックス化メカニズム — seccomp、seatbelt、bubblewrap — がエージェンティックAIワークロードに根本的に不適切であると強く主張しています。核心的な問題は「環境権限(ambient authority)」です。
環境権限の問題
現代のすべてのランタイムは、プロセスに対してその環境が提供するあらゆる権限(ファイルシステム、ネットワーク、ユーザーのgit認証情報、ENV内のAWS APIキーなど)を与えます。プロセスはそれらを要求していません。決定論的な人間が書いたバイナリであれば、監査でリスクを管理できるかもしれません。しかし、LLMエージェントや非決定論的なワークフローは、開発者の完全な身元と能力を継承し、「耐え難い攻撃対象領域」を生み出します。
著者はこれを地図製作者のジレンマと呼んでいます。すなわち、絶えず変化するデータ流出経路の海岸線をマッピングしようとしているのに、LLMがすべての未マッピングの入り江を見つけてしまう、というものです。
WebAssemblyのケイパビリティモデル
Cosmonicは、代替案としてWebAssemblyとWASIを位置づけています。Wasmコンポーネントはゼロ権限で起動します。ファイルシステムもネットワークもシステムコールも環境変数もありません。あらゆるケイパビリティは、コンポーネントのインターフェースにおける型付きインポートでなければなりません。これはMark Millerのオブジェクトケイパビリティモデルをランタイムとして実装したもので、参照自体が権限となります。
主な含意は以下の通りです。
- 仮想化された付与: ファイルシステムのケイパビリティは
/etcをそのまま渡すわけではありません。任意のストア(tmpfs、セッションごとのblob、データベース)にバックアップされたインターフェースを提供します。コンポーネントは抽象化を超えることができません。 - 合成可能なケイパビリティ: コンポーネントは「ネットワーク」をインポートする代わりに、許可されたトラフィック形状を持つ
wasi:httpや、特定のバケットを持つwasi:keyvalueをインポートします。すべてのケイパビリティは名前付けされ、スコープ化され、レビュー可能です。
これにより、セキュリティモデルが「デフォルトで許可、例外で制限」から「デフォルトで拒否、明示的に付与」に変わります。著者は、これがAIエージェントセキュリティの唯一の健全な基盤であると主張しています。
📖 全文はこちら: HN AI Agents
👀 See Also

ClawVault Security Enhancement Adds Sensitive Data Detection for OpenClaw
A new enhancement to ClawVault adds real-time sensitive data detection and automatic sanitization for OpenClaw API traffic, intercepting plaintext passwords, API keys, and tokens before they reach LLM providers.

ハッカーボット・クロー:GitHub Actionsワークフローを悪用するAIボット
hackerbot-clawと呼ばれるAI駆動のボットが、CI/CDパイプラインに対して1週間にわたる自動化攻撃キャンペーンを実行し、Microsoft、DataDog、CNCFプロジェクトを含む少なくとも6つのターゲットのうち4つでリモートコード実行を達成しました。このボットは5つの異なるエクスプロイト技術を使用し、書き込み権限を持つGitHubトークンを外部に流出させました。

Claude神話プレビューリリース後のCVE深刻度急上昇 — Epoch AIデータ
Epoch AIの分析により、2026年6月に21の著名組織からの高・重大深刻度CVEが3.5倍に急増したことが明らかになった。これはAnthropicのClaude Mythos PreviewとProject Glasswingに続くもの。

ローカルエージェントAPIキーのセキュリティのためのプロキシ層分離
開発者が、ローカルエージェントセットアップ(Claude Code / Cursorスタイルのワークフロー)において、ほとんどのスタックが環境変数や<code>.env</code>ファイルを通じてAPIキーを公開し、任意のツール、プラグイン、またはプロンプトインジェクションされたコードが資格情報を読み取る可能性があるセキュリティリスクを生み出していることに気づきました。