Модель безопасности NanoClaw для ИИ-агентов: изоляция контейнеров и минимальный код

Архитектура безопасности NanoClaw для ненадёжных ИИ-агентов
Блог NanoClaw утверждает, что ИИ-агенты должны рассматриваться как ненадёжные и потенциально вредоносные, выступая за архитектурное сдерживание вместо проверок разрешений на уровне приложений. Система построена на принципе, что агенты будут вести себя неподобающим образом, и фокусируется на ограничении ущерба, когда это происходит.
Изоляция контейнеров как основа безопасности
NanoClaw запускает каждого агента в собственном контейнере с использованием Docker или Apple Container на macOS. Эти контейнеры эфемерны — создаются заново при каждом вызове и уничтожаются после завершения. Агенты работают как непривилегированные пользователи и могут получать доступ только к каталогам, явно смонтированным внутрь. Это контрастирует с подходом OpenClaw по умолчанию, где агенты работают напрямую на хост-машине с опциональным режимом песочницы Docker, который большинство пользователей никогда не включает.
Граница контейнера обеспечивает герметичную безопасность, обеспечиваемую ОС, предотвращая побег агентов независимо от конфигурации. Каждый агент получает собственный контейнер, файловую систему и историю сессий Claude, предотвращая утечку информации между агентами, которые должны иметь доступ к разным данным.
Список разрешений для монтирования и защита по умолчанию
Список разрешений для монтирования в ~/.config/nanoclaw/mount-allowlist.json действует как защита в глубину, предотвращая случайное монтирование пользователями чувствительных путей. Чувствительные каталоги, такие как .ssh, .gnupg, .aws, .env, private_key и credentials, блокируются по умолчанию. Список разрешений находится вне каталога проекта, поэтому скомпрометированные агенты не могут изменить свои собственные разрешения.
Код хост-приложения монтируется только для чтения, гарантируя, что ничего из действий агента не сохранится после уничтожения контейнера. Неосновные группы по умолчанию считаются ненадёжными, предотвращая межгрупповые сообщения, планирование задач или просмотр данных для защиты от инъекций промптов от членов группы.
Минимальная, проверяемая кодовая база
NanoClaw поддерживает намеренно минимальную кодовую базу из одного процесса и нескольких файлов, что контрастирует с примерно 400 000 строк кода, 53 файлами конфигурации и более чем 70 зависимостями OpenClaw. Система в значительной степени полагается на Agent SDK от Anthropic для управления сессиями, сжатия памяти и другой функциональности вместо воссоздания компонентов.
Такой дизайн позволяет компетентному разработчику проверить всю кодовую базу за один день. Руководство по внесению вклада принимает только исправления ошибок, исправления безопасности и упрощения. Новая функциональность добавляется через навыки — инструкции с полными рабочими эталонными реализациями, которые кодирующие агенты встраивают в кодовые базы после проверки.
Каждая установка в итоге представляет собой несколько тысяч строк кода, адаптированных под конкретные потребности владельца, избегая сложности, где обычно скрываются уязвимости.
📖 Read the full source: HN LLM Tools
👀 Смотрите также

Исследователи в области ИИ-безопасности: ваши уязвимости нулевого дня могут быть раскрыты через функцию согласия на передачу данных
Переключатель 'Улучшить модель для всех' в интерфейсах LLM может автоматически собирать глубокие исследования red-teaming, отправляя ваши концепции уязвимостей командам безопасности поставщиков и потенциально в академические статьи до вашей публикации. Отключите обмен данными перед проведением серьёзных исследований безопасности.

Интеграция агента OpenClaw SOC для охоты за угрозами в домашней лаборатории SIEM
Пользователь Reddit делится своей открытой SIEM-системой под названием Red Threat Redemption на Debian 13, которая интегрирует Elasticsearch, Kibana, Wazuh, Zeek и pfSense с Suricata, а затем добавляет ИИ-агента для автоматической корреляции угроз, охоты и сортировки оповещений.

Bitwarden Agent Access SDK интегрируется с OneCLI для безопасного внедрения учетных данных.
Новый SDK Agent Access от Bitwarden позволяет ИИ-агентам получать доступ к учетным данным из хранилища Bitwarden с одобрения человека, в то время как OneCLI выступает в качестве шлюза, который внедряет учетные данные на сетевом уровне, не раскрывая их исходные значения агентам.

OpenClaw устраняет критическую уязвимость повышения привилегий в пути /pair Approve
OpenClaw 2026.3.28 исправляет критическую уязвимость безопасности (GHSA-hc5h-pmr3-3497), когда команда /pair approve позволяла пользователям с правами сопряжения утверждать запросы устройств на расширенные права, включая административный доступ. Затронуты версии <= 2026.3.24.