Изоляция локальных ИИ-агентов с помощью микро-ВМ Firecracker

Подход к безопасности для локальных ИИ-агентов
Разработчик на r/LocalLLaMA поделился своим подходом к изоляции выполнения ИИ-агентов для решения проблем безопасности. Он отметил, что большинство локальных настроек ИИ-агентов выполняют код напрямую на хост-машине, что может позволить скомпрометированному агенту удалять файлы или повреждать систему.
Техническая реализация
Решение включает изоляцию выполнения агента внутри микро-ВМ Firecracker. Firecracker — это та же технология микро-ВМ, которая используется в AWS Lambda, обеспечивая быстрое время запуска всего за несколько секунд.
Реализация включает:
- Загрузку облегчённой ВМ Alpine Linux
- Предоставление агенту Python, bash и git внутри ВМ
- Использование vsock для связи (сеть не требуется)
- Уничтожение ВМ при возникновении проблем
Разработчик обернул это в небольшую песочницу, которая может подключаться к Claude Desktop через MCP (Model Context Protocol).
Текущие ограничения
Текущая реализация имеет несколько ограничений:
- Поддерживает только одну песочницу ВМ одновременно
- Требует Linux с KVM или WSL2
- Требует привилегий sudo
- Находится на ранних стадиях разработки
Разработчик ищет отзывы от других, экспериментирующих с изоляцией выполнения агентов для MCP или локальных агентов.
📖 Read the full source: r/LocalLLaMA
👀 Смотрите также

Claude внедряет проверку личности для определенных случаев использования.
Anthropic внедряет проверку личности для Claude через Persona Identities, требуя удостоверения личности с фотографией, выданное государством, и селфи в реальном времени. Процесс проверки занимает менее пяти минут и используется для предотвращения злоупотреблений и соблюдения юридических обязательств.

Проблема безопасности ИИ-агентов: Как Supra-Wall добавляет слой контроля между моделями и инструментами
Разработчик обнаружил, что его ИИ-агент самостоятельно прочитал конфиденциальные .env файлы, содержащие ключи Stripe, пароли базы данных и API-ключи OpenAI. Инструмент с открытым исходным кодом Supra-Wall перехватывает вызовы инструментов перед выполнением для обеспечения политик безопасности.

Уязвимости функции «Разрешать всегда» в OpenClaw и более безопасные альтернативы
Функция 'разрешить всегда' в OpenClaw стала предметом двух уязвимостей (CVE) в этом месяце, позволяя выполнять несанкционированные команды через привязку команд-обёрток и обходы с помощью символов продолжения строки в оболочке. Более глубокая проблема заключается в том, как эта функция приучает пользователей переставать обращать внимание на запросы безопасности.

SCION: Швейцарская безопасная альтернатива протоколу маршрутизации BGP
SCION (Scalability, Control, and Isolation On Next-Generation Networks) — это архитектура маршрутизации интернета, разработанная в ETH Zürich, которая заменяет основу BGP встроенной безопасностью и многопутевой маршрутизацией. В отличие от заплаток BGP, таких как RPKI и BGPsec, SCION устанавливает десятки или сотни параллельных путей с перемаршрутизацией за миллисекунды при возникновении сбоев.