Modelo de Segurança do NanoClaw para Agentes de IA: Isolamento de Contêineres e Código Mínimo

Arquitetura de Segurança do NanoClaw para Agentes de IA Não Confiáveis

O blog do NanoClaw argumenta que os agentes de IA devem ser tratados como não confiáveis e potencialmente maliciosos, defendendo o confinamento arquitetural em vez de verificações de permissão no nível do aplicativo. O sistema é construído com base no princípio de que os agentes se comportarão mal e se concentra em limitar os danos quando isso acontecer.

Isolamento por Contêiner como Segurança Central

O NanoClaw executa cada agente em seu próprio contêiner usando Docker ou Apple Container no macOS. Esses contêineres são efêmeros - criados do zero por invocação e destruídos depois. Os agentes são executados como usuários não privilegiados e só podem acessar diretórios explicitamente montados. Isso contrasta com a abordagem padrão do OpenClaw, onde os agentes são executados diretamente na máquina host com um modo de sandbox Docker opcional que a maioria dos usuários nunca ativa.

O limite do contêiner fornece segurança hermética imposta pelo sistema operacional, impedindo que os agentes escapem independentemente da configuração. Cada agente obtém seu próprio contêiner, sistema de arquivos e histórico de sessões do Claude, evitando vazamento de informações entre agentes que devem acessar dados diferentes.

Lista de Permissão de Montagem e Proteções Padrão

Uma lista de permissão de montagem em ~/.config/nanoclaw/mount-allowlist.json atua como defesa em profundidade, impedindo que os usuários montem acidentalmente caminhos sensíveis. Diretórios sensíveis como .ssh, .gnupg, .aws, .env, private_key e credentials são bloqueados por padrão. A lista de permissão fica fora do diretório do projeto para que agentes comprometidos não possam modificar suas próprias permissões.

O código do aplicativo host é montado como somente leitura, garantindo que nada que um agente faça possa persistir após a destruição do contêiner. Grupos não principais não são confiáveis por padrão, impedindo mensagens entre grupos, agendamento de tarefas ou visualização de dados para proteger contra injeção de prompt de membros do grupo.

Base de Código Mínima e Revisável

O NanoClaw mantém deliberadamente uma base de código mínima de um processo e um punhado de arquivos, contrastando com as aproximadamente 400.000 linhas de código, 53 arquivos de configuração e mais de 70 dependências do OpenClaw. O sistema depende fortemente do SDK de Agentes da Anthropic para gerenciamento de sessões, compactação de memória e outras funcionalidades, em vez de reinventar componentes.

Este design permite que um desenvolvedor competente revise toda a base de código em uma tarde. As diretrizes de contribuição aceitam apenas correções de bugs, correções de segurança e simplificações. Novas funcionalidades vêm por meio de habilidades - instruções com implementações de referência totalmente funcionais que os agentes de codificação mesclam nas bases de código após revisão.

Cada instalação acaba sendo algumas milhares de linhas de código adaptadas às necessidades específicas do proprietário, evitando a complexidade onde as vulnerabilidades normalmente se escondem.