Модель безопасности NanoClaw для ИИ-агентов: изоляция контейнеров и минимальный код

Архитектура безопасности NanoClaw для ненадёжных ИИ-агентов

Блог NanoClaw утверждает, что ИИ-агенты должны рассматриваться как ненадёжные и потенциально вредоносные, выступая за архитектурное сдерживание вместо проверок разрешений на уровне приложений. Система построена на принципе, что агенты будут вести себя неподобающим образом, и фокусируется на ограничении ущерба, когда это происходит.

Изоляция контейнеров как основа безопасности

NanoClaw запускает каждого агента в собственном контейнере с использованием Docker или Apple Container на macOS. Эти контейнеры эфемерны — создаются заново при каждом вызове и уничтожаются после завершения. Агенты работают как непривилегированные пользователи и могут получать доступ только к каталогам, явно смонтированным внутрь. Это контрастирует с подходом OpenClaw по умолчанию, где агенты работают напрямую на хост-машине с опциональным режимом песочницы Docker, который большинство пользователей никогда не включает.

Граница контейнера обеспечивает герметичную безопасность, обеспечиваемую ОС, предотвращая побег агентов независимо от конфигурации. Каждый агент получает собственный контейнер, файловую систему и историю сессий Claude, предотвращая утечку информации между агентами, которые должны иметь доступ к разным данным.

Список разрешений для монтирования и защита по умолчанию

Список разрешений для монтирования в ~/.config/nanoclaw/mount-allowlist.json действует как защита в глубину, предотвращая случайное монтирование пользователями чувствительных путей. Чувствительные каталоги, такие как .ssh, .gnupg, .aws, .env, private_key и credentials, блокируются по умолчанию. Список разрешений находится вне каталога проекта, поэтому скомпрометированные агенты не могут изменить свои собственные разрешения.

Код хост-приложения монтируется только для чтения, гарантируя, что ничего из действий агента не сохранится после уничтожения контейнера. Неосновные группы по умолчанию считаются ненадёжными, предотвращая межгрупповые сообщения, планирование задач или просмотр данных для защиты от инъекций промптов от членов группы.

Минимальная, проверяемая кодовая база

NanoClaw поддерживает намеренно минимальную кодовую базу из одного процесса и нескольких файлов, что контрастирует с примерно 400 000 строк кода, 53 файлами конфигурации и более чем 70 зависимостями OpenClaw. Система в значительной степени полагается на Agent SDK от Anthropic для управления сессиями, сжатия памяти и другой функциональности вместо воссоздания компонентов.

Такой дизайн позволяет компетентному разработчику проверить всю кодовую базу за один день. Руководство по внесению вклада принимает только исправления ошибок, исправления безопасности и упрощения. Новая функциональность добавляется через навыки — инструкции с полными рабочими эталонными реализациями, которые кодирующие агенты встраивают в кодовые базы после проверки.

Каждая установка в итоге представляет собой несколько тысяч строк кода, адаптированных под конкретные потребности владельца, избегая сложности, где обычно скрываются уязвимости.