Endo Familiar: Песочница объектных возможностей для AI-агентов

Демонстрация Endo Familiar, построенная на HardenedJS и модели объектно-возможностной (ocap) безопасности, решает фундаментальную проблему безопасности современных фреймворков ИИ-агентов: «проблему мешка с учетными данными». Большинство агентов сегодня получают полный доступ к файловым системам, ключам API и учетным данным, что создает единую точку отказа, где внедрение промпта или рассогласование могут привести к катастрофическому ущербу.

Как это работает

В демонстрации инженер Крис Коваль порождает агента с именем lal с одной возможностью: чтение вводного руководства. Нет доступа к файловой системе, сети или учетным данным. Агент может действовать только на основе того, на что у него есть явная ссылка. Когда требуются файловые операции, создается монтирование конкретного каталога, а не общий шлюз к файловой системе. Монтирование по конструкции не может подняться выше своего корня, следовать символическим ссылкам за пределы дерева или покинуть свои границы. Это монтирование передается агенту в качестве ссылки.

Затем агент пишет программу, которая создает доступную только для чтения версию каталога. Сгенерированный код выполняется в изолированной среде без встроенных возможностей. Результатом является более узкая возможность, полученная из исходной, и эта суженная возможность передается обратно агенту. На каждом шаге объем полномочий сокращается ровно до того, что необходимо.

Ключевые технические детали

• Объектно-возможностная модель: Ссылка является полномочием. Не существует общего пула разрешений. Если код не имеет ссылки, он не может ее подделать.
• Отсутствие выхода за пределы: Монтирования файловых систем не могут следовать символическим ссылкам или покидать свой корневой каталог.
• Генерация кода в изолированной среде: Агент пишет программы в изолированной среде, которая не имеет встроенных возможностей; все входные данные — явные ссылки.
• WebSocket-ретранслятор: Коллега подключается через WebSocket-ретранслятор, чтобы предоставить удаленный каталог. Агент обобщает удаленные файлы, даже не зная, что они удаленные — у него есть только ссылка на доступную только для чтения версию.

Почему это важно сейчас

В статье утверждается, что развертывание ИИ-агентов ускоряется опасными темпами без надлежащей основы безопасности. Та же ошибка, которую десять лет назад допустили приложения социальных сетей — предоставление полных пользовательских привилегий стороннему коду — повторяется с ИИ-агентами. Подход Endo гарантирует, что даже если агент будет захвачен через внедрение промпта, ущерб будет ограничен конкретными возможностями, которые были ему предоставлены.