Изоляция AI-агентов с помощью WebAssembly: нулевое доверие по умолчанию

Статья Cosmonic, набирающая популярность на HN, убедительно доказывает, что обычные механизмы изоляции Linux — seccomp, seatbelt, bubblewrap — принципиально непригодны для рабочих нагрузок агентного ИИ. Основная проблема: фоновые полномочия.
Проблема фоновых полномочий
Каждая современная среда выполнения дает процессу все разрешения, которые предоставляет его окружение: файловую систему, сеть, git-учетные данные пользователя, AWS API-ключ в ENV. Процесс не запрашивал их. Для детерминированных написанных человеком бинарников этот риск, возможно, можно контролировать с помощью аудита. Но LLM-агенты и недетерминированные рабочие процессы наследуют всю личность и возможности разработчика, создавая «нетерпимую поверхность атаки».
Автор называет это дилеммой картографа: вы пытаетесь нанести на карту постоянно меняющуюся береговую линию путей утечки, а LLM найдет каждую немаркированную бухту.
Модель возможностей WebAssembly
Cosmonic предлагает WebAssembly и WASI в качестве альтернативы. Компонент Wasm начинает с нулевыми полномочиями: без файловой системы, сети, системных вызовов и переменных окружения. Любая возможность должна быть типизированным импортом в интерфейсе компонента. Это объектно-возможностная модель Марка Миллера как среда выполнения: ссылка является разрешением.
Ключевые последствия:
- Виртуализированные разрешения: возможность файловой системы не передает
/etc. Она предоставляет интерфейс, поддерживаемый любым хранилищем (tmpfs, по сессионный blob, база данных). Компонент не может выйти за пределы абстракции. - Компонуемые возможности: вместо импорта «сети» компонент импортирует
wasi:httpс разрешенными типами трафика илиwasi:keyvalueс определенным бакетом. Каждая возможность именована, ограничена и проверяема.
Это меняет модель безопасности с «разрешить по умолчанию, ограничить по исключению» на «запретить по умолчанию, предоставлять явно». Автор утверждает, что это единственная надежная основа для безопасности ИИ-агентов.
📖 Read the full source: HN AI Agents
👀 Смотрите также

Предупреждение о хостинге RunLobster: Сообщено о спаме ботами и несанкционированных списаниях
Пользователь Reddit сообщает о ботах RunLobster (OpenClaw Hosting), рассылающих спам в технических сабреддитах, и о трёх несанкционированных списаниях с его карты сразу после регистрации, при этом поддержка не отвечает.

Защита инфраструктуры OpenClaw с помощью прокси-сервера Pomerium, осознающего идентификацию.
Используйте Pomerium в качестве прокси-сервера с учетом идентификации для нулевой доверительной аутентификации для обеспечения доступа к серверу OpenClaw.

5 опасных навыков OpenClaw, прошедших ClawScan + VirusTotal: анализ Unit 42
Исследователи Unit 42 обнаружили пять вредоносных навыков OpenClaw, которые обошли ClawScan и VirusTotal. Использовались методы подмены рефералов во время выполнения, пулинга SOL для насосов и сбросов, а также padding README на 22 МБ для сокрытия дроппера AMOS.

Агент ИИ использует SQL-инъекцию для взлома чат-бота McKinsey Lilli
Исследователи безопасности из CodeWall использовали автономного ИИ-агента для взлома внутреннего чат-бота Lilli компании McKinsey, получив полный доступ на чтение и запись к его производственной базе данных за два часа через уязвимость SQL-инъекции в незащищённых API-эндпоинтах.