Изоляция локальных ИИ-агентов с помощью микро-ВМ Firecracker

Подход к безопасности для локальных ИИ-агентов

Разработчик на r/LocalLLaMA поделился своим подходом к изоляции выполнения ИИ-агентов для решения проблем безопасности. Он отметил, что большинство локальных настроек ИИ-агентов выполняют код напрямую на хост-машине, что может позволить скомпрометированному агенту удалять файлы или повреждать систему.

Техническая реализация

Решение включает изоляцию выполнения агента внутри микро-ВМ Firecracker. Firecracker — это та же технология микро-ВМ, которая используется в AWS Lambda, обеспечивая быстрое время запуска всего за несколько секунд.

Реализация включает:

• Загрузку облегчённой ВМ Alpine Linux
• Предоставление агенту Python, bash и git внутри ВМ
• Использование vsock для связи (сеть не требуется)
• Уничтожение ВМ при возникновении проблем

Разработчик обернул это в небольшую песочницу, которая может подключаться к Claude Desktop через MCP (Model Context Protocol).

Текущие ограничения

Текущая реализация имеет несколько ограничений:

• Поддерживает только одну песочницу ВМ одновременно
• Требует Linux с KVM или WSL2
• Требует привилегий sudo
• Находится на ранних стадиях разработки

Разработчик ищет отзывы от других, экспериментирующих с изоляцией выполнения агентов для MCP или локальных агентов.