Endo Familiar: Песочница объектных возможностей для AI-агентов

✍️ OpenClawRadar📅 Опубликовано: 24 апреля 2026 г.🔗 Source
Endo Familiar: Песочница объектных возможностей для AI-агентов
Ad

Демонстрация Endo Familiar, построенная на HardenedJS и модели объектно-возможностной (ocap) безопасности, решает фундаментальную проблему безопасности современных фреймворков ИИ-агентов: «проблему мешка с учетными данными». Большинство агентов сегодня получают полный доступ к файловым системам, ключам API и учетным данным, что создает единую точку отказа, где внедрение промпта или рассогласование могут привести к катастрофическому ущербу.

Как это работает

В демонстрации инженер Крис Коваль порождает агента с именем lal с одной возможностью: чтение вводного руководства. Нет доступа к файловой системе, сети или учетным данным. Агент может действовать только на основе того, на что у него есть явная ссылка. Когда требуются файловые операции, создается монтирование конкретного каталога, а не общий шлюз к файловой системе. Монтирование по конструкции не может подняться выше своего корня, следовать символическим ссылкам за пределы дерева или покинуть свои границы. Это монтирование передается агенту в качестве ссылки.

Затем агент пишет программу, которая создает доступную только для чтения версию каталога. Сгенерированный код выполняется в изолированной среде без встроенных возможностей. Результатом является более узкая возможность, полученная из исходной, и эта суженная возможность передается обратно агенту. На каждом шаге объем полномочий сокращается ровно до того, что необходимо.

Ad

Ключевые технические детали

  • Объектно-возможностная модель: Ссылка является полномочием. Не существует общего пула разрешений. Если код не имеет ссылки, он не может ее подделать.
  • Отсутствие выхода за пределы: Монтирования файловых систем не могут следовать символическим ссылкам или покидать свой корневой каталог.
  • Генерация кода в изолированной среде: Агент пишет программы в изолированной среде, которая не имеет встроенных возможностей; все входные данные — явные ссылки.
  • WebSocket-ретранслятор: Коллега подключается через WebSocket-ретранслятор, чтобы предоставить удаленный каталог. Агент обобщает удаленные файлы, даже не зная, что они удаленные — у него есть только ссылка на доступную только для чтения версию.

Почему это важно сейчас

В статье утверждается, что развертывание ИИ-агентов ускоряется опасными темпами без надлежащей основы безопасности. Та же ошибка, которую десять лет назад допустили приложения социальных сетей — предоставление полных пользовательских привилегий стороннему коду — повторяется с ИИ-агентами. Подход Endo гарантирует, что даже если агент будет захвачен через внедрение промпта, ущерб будет ограничен конкретными возможностями, которые были ему предоставлены.

📖 Read the full source: HN AI Agents

Ad

👀 Смотрите также

Сканирование безопасности пакетов MCP выявляет широко распространенные деструктивные возможности без подтверждения
Безопасность

Сканирование безопасности пакетов MCP выявляет широко распространенные деструктивные возможности без подтверждения

Сканирование безопасности 2,386 пакетов MCP в npm показало, что 63,5% из них предоставляют деструктивные операции, такие как удаление файлов и сброс баз данных, без запроса подтверждения у человека. Исследователь обнаружил, что в целом 49% пакетов имеют проблемы с безопасностью, включая 402 критических и 240 уязвимостей высокой степени серьезности.

OpenClawRadar
🦀
Безопасность

Безопасность ИИ-агентов: бюджет токенов определяет риск утечки данных

Разработчик протестировал ИИ-агентов, подключенных к Gmail: флагманские модели ловили фишинг, средние были нестабильны, дешевые молча пересылали вредоносные письма. Архитектурные защиты (изоляция, разрешения) не остановили ни одной атаки.

OpenClawRadar
Умный Bash-хук для контроля прав Claude Code предотвращает обход составных команд
Безопасность

Умный Bash-хук для контроля прав Claude Code предотвращает обход составных команд

Python-хук PreToolUse устраняет уязвимость в системе разрешений Claude Code, где составные bash-команды могли обходить шаблоны разрешения/запрета. Скрипт разбивает команды на подкоманды и проверяет каждую отдельно по существующим правилам разрешений.

OpenClawRadar
Скрытые аудиосигналы взламывают голосовые AI-системы с успешностью 79-96%
Безопасность

Скрытые аудиосигналы взламывают голосовые AI-системы с успешностью 79-96%

Исследование показывает, что незаметные аудиоклипы могут заставить LALM выполнять несанкционированные команды, такие как поиск в интернете, загрузка файлов и кража электронной почты, с успешностью 79–96% на 13 моделях, включая Mistral и сервисы Microsoft.

OpenClawRadar