Анализ безопасности изоляции агентов: от отсутствия песочницы до виртуальных машин Firecracker

✍️ OpenClawRadar📅 Опубликовано: 31 марта 2026 г.🔗 Source
Анализ безопасности изоляции агентов: от отсутствия песочницы до виртуальных машин Firecracker
Ad

В посте на Reddit анализируется, как различные ИИ-агенты для написания кода обрабатывают изоляцию рабочих нагрузок, выделяя значительные различия в безопасности между подходами.

Текущие методы изоляции

Анализ охватывает пять платформ:

  • Cursor: Запускает команды напрямую в вашей оболочке без песочницы
  • Claude Code: Не указано подробно
  • Devin: Не указано подробно
  • OpenAI: Не указано подробно
  • E2B: Использует аппаратно-изолированные микровиртуальные машины Firecracker

Сравнение безопасности

Источник предоставляет конкретные данные о безопасности:

  • Среда выполнения контейнеров ежегодно с 2019 года имела уязвимости типа CVE, позволяющие сбежать из контейнера
  • У Firecracker за семь лет не было ни одного случая побега из гостевой системы на хост
  • AWS заявила: "мы не считаем контейнеры границей безопасности"
Ad

Реальные инциденты

В посте рассматриваются несколько инцидентов безопасности:

  • Devin был взят под контроль через один отравленный issue на GitHub
  • Инцидент с утечкой данных в Slack AI
  • Атака на цепочку поставок Clinejection

Ключевые концепции

Анализ определяет:

  • Пять предположений, которые делает традиционная изоляция и которые нарушают агенты
  • Шесть измерений изоляции, которые будут исследованы в серии

Для разработчиков, использующих ИИ-агентов для написания кода, это подчеркивает важность понимания того, как ваш агент выполняет код, и последствий для безопасности различных подходов к изоляции.

📖 Read the full source: r/LocalLLaMA

Ad

👀 Смотрите также

Слепая повязка: Плагин, который не позволяет коду Claude читать ваши .env файлы
Безопасность

Слепая повязка: Плагин, который не позволяет коду Claude читать ваши .env файлы

Blindfold — это новый плагин, который предотвращает доступ Claude Code к реальным секретным значениям в .env-файлах, сохраняя их в системном хранилище ключей и используя заполнители вроде {{STRIPE_KEY}}, с перехватчиками, блокирующими попытки прямого доступа.

OpenClawRadar
Функция использования компьютера от Anthropic вызывает блокировку управления в реальном тесте.
Безопасность

Функция использования компьютера от Anthropic вызывает блокировку управления в реальном тесте.

Anthropic внедрила возможности использования компьютера, и во время реализации механизмов управления сработал порог риска, который привёл к режиму БЛОКИРОВКИ, заблокировав все операции изменения, включая работу самого оператора по управлению.

OpenClawRadar
Агент ИИ использует SQL-инъекцию для взлома чат-бота McKinsey Lilli
Безопасность

Агент ИИ использует SQL-инъекцию для взлома чат-бота McKinsey Lilli

Исследователи безопасности из CodeWall использовали автономного ИИ-агента для взлома внутреннего чат-бота Lilli компании McKinsey, получив полный доступ на чтение и запись к его производственной базе данных за два часа через уязвимость SQL-инъекции в незащищённых API-эндпоинтах.

OpenClawRadar
Изоляция локальных ИИ-агентов с помощью микро-ВМ Firecracker
Безопасность

Изоляция локальных ИИ-агентов с помощью микро-ВМ Firecracker

Разработчик создал песочницу, которая изолирует выполнение ИИ-агентов внутри микро-ВМ Firecracker, работающих на Alpine Linux, решая проблемы безопасности, связанные с выполнением команд агентами напрямую на хост-машине. Конфигурация использует vsock для связи и подключается к Claude Desktop через MCP.

OpenClawRadar