Анализ безопасности изоляции агентов: от отсутствия песочницы до виртуальных машин Firecracker
В посте на Reddit анализируется, как различные ИИ-агенты для написания кода обрабатывают изоляцию рабочих нагрузок, выделяя значительные различия в безопасности между подходами.
Текущие методы изоляции
Анализ охватывает пять платформ:
- Cursor: Запускает команды напрямую в вашей оболочке без песочницы
- Claude Code: Не указано подробно
- Devin: Не указано подробно
- OpenAI: Не указано подробно
- E2B: Использует аппаратно-изолированные микровиртуальные машины Firecracker
Сравнение безопасности
Источник предоставляет конкретные данные о безопасности:
- Среда выполнения контейнеров ежегодно с 2019 года имела уязвимости типа CVE, позволяющие сбежать из контейнера
- У Firecracker за семь лет не было ни одного случая побега из гостевой системы на хост
- AWS заявила: "мы не считаем контейнеры границей безопасности"
Реальные инциденты
В посте рассматриваются несколько инцидентов безопасности:
- Devin был взят под контроль через один отравленный issue на GitHub
- Инцидент с утечкой данных в Slack AI
- Атака на цепочку поставок Clinejection
Ключевые концепции
Анализ определяет:
- Пять предположений, которые делает традиционная изоляция и которые нарушают агенты
- Шесть измерений изоляции, которые будут исследованы в серии
Для разработчиков, использующих ИИ-агентов для написания кода, это подчеркивает важность понимания того, как ваш агент выполняет код, и последствий для безопасности различных подходов к изоляции.
📖 Read the full source: r/LocalLLaMA
👀 Смотрите также
Слепая повязка: Плагин, который не позволяет коду Claude читать ваши .env файлы
Blindfold — это новый плагин, который предотвращает доступ Claude Code к реальным секретным значениям в .env-файлах, сохраняя их в системном хранилище ключей и используя заполнители вроде {{STRIPE_KEY}}, с перехватчиками, блокирующими попытки прямого доступа.
Функция использования компьютера от Anthropic вызывает блокировку управления в реальном тесте.
Anthropic внедрила возможности использования компьютера, и во время реализации механизмов управления сработал порог риска, который привёл к режиму БЛОКИРОВКИ, заблокировав все операции изменения, включая работу самого оператора по управлению.
Агент ИИ использует SQL-инъекцию для взлома чат-бота McKinsey Lilli
Исследователи безопасности из CodeWall использовали автономного ИИ-агента для взлома внутреннего чат-бота Lilli компании McKinsey, получив полный доступ на чтение и запись к его производственной базе данных за два часа через уязвимость SQL-инъекции в незащищённых API-эндпоинтах.
Изоляция локальных ИИ-агентов с помощью микро-ВМ Firecracker
Разработчик создал песочницу, которая изолирует выполнение ИИ-агентов внутри микро-ВМ Firecracker, работающих на Alpine Linux, решая проблемы безопасности, связанные с выполнением команд агентами напрямую на хост-машине. Конфигурация использует vsock для связи и подключается к Claude Desktop через MCP.