Изоляция AI-агентов с помощью WebAssembly: нулевое доверие по умолчанию

✍️ OpenClawRadar📅 Опубликовано: 9 мая 2026 г.🔗 Source
Изоляция AI-агентов с помощью WebAssembly: нулевое доверие по умолчанию
Ad

Статья Cosmonic, набирающая популярность на HN, убедительно доказывает, что обычные механизмы изоляции Linux — seccomp, seatbelt, bubblewrap — принципиально непригодны для рабочих нагрузок агентного ИИ. Основная проблема: фоновые полномочия.

Проблема фоновых полномочий

Каждая современная среда выполнения дает процессу все разрешения, которые предоставляет его окружение: файловую систему, сеть, git-учетные данные пользователя, AWS API-ключ в ENV. Процесс не запрашивал их. Для детерминированных написанных человеком бинарников этот риск, возможно, можно контролировать с помощью аудита. Но LLM-агенты и недетерминированные рабочие процессы наследуют всю личность и возможности разработчика, создавая «нетерпимую поверхность атаки».

Автор называет это дилеммой картографа: вы пытаетесь нанести на карту постоянно меняющуюся береговую линию путей утечки, а LLM найдет каждую немаркированную бухту.

Ad

Модель возможностей WebAssembly

Cosmonic предлагает WebAssembly и WASI в качестве альтернативы. Компонент Wasm начинает с нулевыми полномочиями: без файловой системы, сети, системных вызовов и переменных окружения. Любая возможность должна быть типизированным импортом в интерфейсе компонента. Это объектно-возможностная модель Марка Миллера как среда выполнения: ссылка является разрешением.

Ключевые последствия:

  • Виртуализированные разрешения: возможность файловой системы не передает /etc. Она предоставляет интерфейс, поддерживаемый любым хранилищем (tmpfs, по сессионный blob, база данных). Компонент не может выйти за пределы абстракции.
  • Компонуемые возможности: вместо импорта «сети» компонент импортирует wasi:http с разрешенными типами трафика или wasi:keyvalue с определенным бакетом. Каждая возможность именована, ограничена и проверяема.

Это меняет модель безопасности с «разрешить по умолчанию, ограничить по исключению» на «запретить по умолчанию, предоставлять явно». Автор утверждает, что это единственная надежная основа для безопасности ИИ-агентов.

📖 Read the full source: HN AI Agents

Ad

👀 Смотрите также

Предупреждение о хостинге RunLobster: Сообщено о спаме ботами и несанкционированных списаниях
Безопасность

Предупреждение о хостинге RunLobster: Сообщено о спаме ботами и несанкционированных списаниях

Пользователь Reddit сообщает о ботах RunLobster (OpenClaw Hosting), рассылающих спам в технических сабреддитах, и о трёх несанкционированных списаниях с его карты сразу после регистрации, при этом поддержка не отвечает.

OpenClawRadar
Защита инфраструктуры OpenClaw с помощью прокси-сервера Pomerium, осознающего идентификацию.
Безопасность

Защита инфраструктуры OpenClaw с помощью прокси-сервера Pomerium, осознающего идентификацию.

Используйте Pomerium в качестве прокси-сервера с учетом идентификации для нулевой доверительной аутентификации для обеспечения доступа к серверу OpenClaw.

OpenClawRadar
5 опасных навыков OpenClaw, прошедших ClawScan + VirusTotal: анализ Unit 42
Безопасность

5 опасных навыков OpenClaw, прошедших ClawScan + VirusTotal: анализ Unit 42

Исследователи Unit 42 обнаружили пять вредоносных навыков OpenClaw, которые обошли ClawScan и VirusTotal. Использовались методы подмены рефералов во время выполнения, пулинга SOL для насосов и сбросов, а также padding README на 22 МБ для сокрытия дроппера AMOS.

OpenClawRadar
Агент ИИ использует SQL-инъекцию для взлома чат-бота McKinsey Lilli
Безопасность

Агент ИИ использует SQL-инъекцию для взлома чат-бота McKinsey Lilli

Исследователи безопасности из CodeWall использовали автономного ИИ-агента для взлома внутреннего чат-бота Lilli компании McKinsey, получив полный доступ на чтение и запись к его производственной базе данных за два часа через уязвимость SQL-инъекции в незащищённых API-эндпоинтах.

OpenClawRadar