Анализ безопасности изоляции агентов: от отсутствия песочницы до виртуальных машин Firecracker

В посте на Reddit анализируется, как различные ИИ-агенты для написания кода обрабатывают изоляцию рабочих нагрузок, выделяя значительные различия в безопасности между подходами.

Текущие методы изоляции

Анализ охватывает пять платформ:

• Cursor: Запускает команды напрямую в вашей оболочке без песочницы
• Claude Code: Не указано подробно
• Devin: Не указано подробно
• OpenAI: Не указано подробно
• E2B: Использует аппаратно-изолированные микровиртуальные машины Firecracker

Сравнение безопасности

Источник предоставляет конкретные данные о безопасности:

• Среда выполнения контейнеров ежегодно с 2019 года имела уязвимости типа CVE, позволяющие сбежать из контейнера
• У Firecracker за семь лет не было ни одного случая побега из гостевой системы на хост
• AWS заявила: "мы не считаем контейнеры границей безопасности"

Реальные инциденты

В посте рассматриваются несколько инцидентов безопасности:

• Devin был взят под контроль через один отравленный issue на GitHub
• Инцидент с утечкой данных в Slack AI
• Атака на цепочку поставок Clinejection

Ключевые концепции

Анализ определяет:

• Пять предположений, которые делает традиционная изоляция и которые нарушают агенты
• Шесть измерений изоляции, которые будут исследованы в серии

Для разработчиков, использующих ИИ-агентов для написания кода, это подчеркивает важность понимания того, как ваш агент выполняет код, и последствий для безопасности различных подходов к изоляции.