Разработчик создает песочницу Firecracker MicroVM для безопасности OpenClaw.

Разработчик на r/openclaw создал ориентированную на безопасность песочницу для запуска агентов OpenClaw после того, как начал беспокоиться о предоставлении LLM возможности выполнять произвольный код Python локально. Решение использует микровиртуальные машины Firecracker — ту же технологию, что лежит в основе AWS Lambda.

Ключевые детали реализации

Разработчик сначала попробовал NemoClaw, но обнаружил, что для него требуется 8–16 ГБ оперативной памяти, и он всё равно использовал контейнеры, что не соответствовало требованиям безопасности. Решение на основе Firecracker обеспечивает:

• Каждый скрипт выполняется в собственной изолированной среде с отдельным ядром Linux
• Время холодной загрузки менее 150 мс
• Жёсткое ограничение оперативной памяти в 128 МБ на виртуальную машину
• Отсутствие доступа к сети, если он не включён явно
• Виртуальная машина завершает работу после выполнения скрипта
• Потоки вывода возвращаются из изолированной среды

Система спроектирована так, что код выполняется в микровиртуальной машине, вывод передаётся обратно на хост, после чего виртуальная машина завершает работу. Такой подход обеспечивает изоляцию на уровне ядра, а не безопасность на основе контейнеров.

Планы на будущее

Разработчик планирует далее создать профили вычислений, позволяющие агентам запрашивать различные конфигурации виртуальных машин в зависимости от требований задачи. Например, для обработки данных с помощью pandas можно запустить «тяжёлую» виртуальную машину, в то время как для простых математических скриптов будет использоваться небольшая конфигурация по умолчанию.

В посте запрашивается обратная связь от сообщества о том, является ли такой уровень изоляции практичным для локального использования агентов или представляет собой избыточное усложнение из соображений безопасности.