Sandboxing de Agentes de IA com WebAssembly: Autoridade Zero por Padrão
O artigo da Cosmonic, atualmente em alta no HN, apresenta um forte argumento de que os mecanismos convencionais de sandboxing do Linux — seccomp, seatbelt, bubblewrap — são fundamentalmente inadequados para cargas de trabalho de IA agêntica. O problema central: autoridade ambiente.
O Problema da Autoridade Ambiente
Todo runtime moderno concede a um processo as permissões que seu ambiente fornece: sistema de arquivos, rede, credenciais git do usuário, uma chave da API AWS em ENV. O processo nunca as solicitou. Para binários determinísticos escritos por humanos, é possível gerenciar esse risco com auditorias. Mas agentes LLM e fluxos de trabalho não determinísticos herdam a identidade completa e as capacidades do desenvolvedor, criando uma 'superfície de ataque intolerável'.
O autor chama isso de dilema do cartógrafo: você está tentando mapear um litoral mutante de caminhos de exfiltração, e o LLM encontrará cada enseada não mapeada.
Modelo de Capacidades do WebAssembly
A Cosmonic posiciona o WebAssembly e o WASI como a alternativa. Um componente Wasm começa com autoridade zero: sem sistema de arquivos, sem rede, sem syscalls, sem variáveis de ambiente. Qualquer capacidade deve ser uma importação tipada na interface do componente. Este é o modelo de objeto-capacidade de Mark Miller como runtime: a referência é a permissão.
Implicações principais:
- Concessões virtualizadas: uma capacidade de sistema de arquivos não entrega
/etc. Ela fornece uma interface apoiada por qualquer armazenamento (tmpfs, blob por sessão, banco de dados). O componente não pode escapar da abstração. - Capacidades compostas: em vez de importar 'a rede', um componente importa
wasi:httpcom formatos de tráfego permitidos, ouwasi:keyvaluecom um bucket específico. Toda capacidade é nomeada, escopada e revisável.
Isso altera o modelo de segurança de 'permitir por padrão, restringir por exceção' para 'negar por padrão, conceder explicitamente'. O autor argumenta que esta é a única base sólida para a segurança de agentes de IA.
📖 Leia a fonte completa: HN AI Agents
👀 See Also
Sieve: Scanner Secreto Local para Históricos de Chat de Ferramentas de Codificação de IA
Sieve escaneia históricos de conversas do Cursor, Claude Code, Copilot e outros assistentes de codificação com IA em busca de chaves de API e tokens vazados. Toda a varredura é local, com ocultação e cofre do macOS Keychain.
Repositório do GitHub documenta 16 técnicas de injeção de prompt e estratégias de defesa para chats públicos de IA
Um desenvolvedor publicou um repositório no GitHub detalhando medidas de segurança para chatbots de IA públicos após usuários tentarem injeção de prompt, ataques de roleplay, truques multilingues e payloads codificados em base64. O guia inclui uma habilidade de código Claude para testar todas as 16 técnicas de injeção documentadas.
Dados de ameaça de 91 mil interações com agentes de IA: abuso de ferramentas aumentou 6,4%, novos ataques multimodais
Análise de 91.284 interações de agentes de IA de fevereiro de 2026 mostra que o abuso de ferramentas/comandos aumentou 6,4% para 14,5%, com a escalada da cadeia de ferramentas como o padrão dominante. O envenenamento de RAG mudou para ataques de metadados (12,0%), e a injeção multimodal via imagens/PDFs surgiu em 2,3%.
Hospede com Segurança o OpenClaw em um VPS com Tailscale e Mais
Configure o OpenClaw de forma segura em um VPS usando Tailscale, fail2ban, UFW e mais, evitando exposição pública e fortalecendo a defesa.