Sandboxing de Agentes de IA com WebAssembly: Autoridade Zero por Padrão

O artigo da Cosmonic, atualmente em alta no HN, apresenta um forte argumento de que os mecanismos convencionais de sandboxing do Linux — seccomp, seatbelt, bubblewrap — são fundamentalmente inadequados para cargas de trabalho de IA agêntica. O problema central: autoridade ambiente.
O Problema da Autoridade Ambiente
Todo runtime moderno concede a um processo as permissões que seu ambiente fornece: sistema de arquivos, rede, credenciais git do usuário, uma chave da API AWS em ENV. O processo nunca as solicitou. Para binários determinísticos escritos por humanos, é possível gerenciar esse risco com auditorias. Mas agentes LLM e fluxos de trabalho não determinísticos herdam a identidade completa e as capacidades do desenvolvedor, criando uma 'superfície de ataque intolerável'.
O autor chama isso de dilema do cartógrafo: você está tentando mapear um litoral mutante de caminhos de exfiltração, e o LLM encontrará cada enseada não mapeada.
Modelo de Capacidades do WebAssembly
A Cosmonic posiciona o WebAssembly e o WASI como a alternativa. Um componente Wasm começa com autoridade zero: sem sistema de arquivos, sem rede, sem syscalls, sem variáveis de ambiente. Qualquer capacidade deve ser uma importação tipada na interface do componente. Este é o modelo de objeto-capacidade de Mark Miller como runtime: a referência é a permissão.
Implicações principais:
- Concessões virtualizadas: uma capacidade de sistema de arquivos não entrega
/etc. Ela fornece uma interface apoiada por qualquer armazenamento (tmpfs, blob por sessão, banco de dados). O componente não pode escapar da abstração. - Capacidades compostas: em vez de importar 'a rede', um componente importa
wasi:httpcom formatos de tráfego permitidos, ouwasi:keyvaluecom um bucket específico. Toda capacidade é nomeada, escopada e revisável.
Isso altera o modelo de segurança de 'permitir por padrão, restringir por exceção' para 'negar por padrão, conceder explicitamente'. O autor argumenta que esta é a única base sólida para a segurança de agentes de IA.
📖 Leia a fonte completa: HN AI Agents
👀 See Also

Injeção de Autoridade de Ferramentas em Agentes LLM: Quando a Saída da Ferramenta Sobrepõe a Intenção do Sistema
Um pesquisador demonstra 'Injeção de Autoridade de Ferramenta' em um laboratório local de agentes LLM, mostrando como a saída confiável de ferramentas pode ser elevada ao nível de autoridade de política, alterando silenciosamente o comportamento do agente enquanto a sandbox e o acesso a arquivos permanecem seguros.

Verificador de SBOM Offline para OpenClaw Detecta Habilidades Envenenadas em Menos de 0,2 Segundos
Um desenvolvedor criou uma ferramenta de verificação de SBOM offline em Rust que detectou uma habilidade envenenada do OpenClaw exfiltrando chaves SSH, com a verificação sendo concluída em menos de 0,2 segundos sem acesso à internet.

Preocupações de Segurança do OpenClaw: Chaves de API e Dados de Conversação em Risco na Hospedagem Própria Padrão
Um relatório da Cisco indica que a segurança do OpenClaw é "opcional, não integrada", com configurações padrão armazenando chaves de API em arquivos .env em instâncias VPS, criando uma exposição potencial para usuários não técnicos que executam em droplets básicos.

pi-governance: RBAC, DLP e registro de auditoria para agentes de codificação OpenClaw
pi-governance é um plugin que fica entre os agentes de codificação de IA e seu sistema, classificando chamadas de ferramentas e bloqueando operações arriscadas. Ele fornece bloqueio de comandos bash, varredura DLP para segredos e PII, controle de acesso baseado em função e registro de auditoria estruturado sem configuração.