Изоляция AI-агентов с помощью WebAssembly: нулевое доверие по умолчанию

Статья Cosmonic, набирающая популярность на HN, убедительно доказывает, что обычные механизмы изоляции Linux — seccomp, seatbelt, bubblewrap — принципиально непригодны для рабочих нагрузок агентного ИИ. Основная проблема: фоновые полномочия.

Проблема фоновых полномочий

Каждая современная среда выполнения дает процессу все разрешения, которые предоставляет его окружение: файловую систему, сеть, git-учетные данные пользователя, AWS API-ключ в ENV. Процесс не запрашивал их. Для детерминированных написанных человеком бинарников этот риск, возможно, можно контролировать с помощью аудита. Но LLM-агенты и недетерминированные рабочие процессы наследуют всю личность и возможности разработчика, создавая «нетерпимую поверхность атаки».

Автор называет это дилеммой картографа: вы пытаетесь нанести на карту постоянно меняющуюся береговую линию путей утечки, а LLM найдет каждую немаркированную бухту.

Модель возможностей WebAssembly

Cosmonic предлагает WebAssembly и WASI в качестве альтернативы. Компонент Wasm начинает с нулевыми полномочиями: без файловой системы, сети, системных вызовов и переменных окружения. Любая возможность должна быть типизированным импортом в интерфейсе компонента. Это объектно-возможностная модель Марка Миллера как среда выполнения: ссылка является разрешением.

Ключевые последствия:

• Виртуализированные разрешения: возможность файловой системы не передает /etc. Она предоставляет интерфейс, поддерживаемый любым хранилищем (tmpfs, по сессионный blob, база данных). Компонент не может выйти за пределы абстракции.
• Компонуемые возможности: вместо импорта «сети» компонент импортирует wasi:http с разрешенными типами трафика или wasi:keyvalue с определенным бакетом. Каждая возможность именована, ограничена и проверяема.

Это меняет модель безопасности с «разрешить по умолчанию, ограничить по исключению» на «запретить по умолчанию, предоставлять явно». Автор утверждает, что это единственная надежная основа для безопасности ИИ-агентов.