Runtime bảo mật nhẹ cho các tác nhân tự chủ

Đây là runtime để sử dụng an toàn các tác nhân tự chủ như OpenClaw.

Các tác nhân tự chủ có phạm vi hành động rộng hơn so với các tác nhân truyền thống, vì vậy có thể được sử dụng hữu ích hơn nhiều, nhưng đồng thời cũng đòi hỏi quyền hạn mạnh hơn, nên việc dùng chúng mà không có bất kỳ thiết bị an toàn nào khiến người ta lo ngại về các lệnh gọi API sai hoặc quyền quá mức như rm-rf; trên thực tế cũng đã phát hiện các trường hợp sự cố bảo mật nghiêm trọng như OpenClaw xóa nhầm tệp thực hoặc mã độc được thực thi trên Clawhub.

Tôi muốn sử dụng OpenClaw thông qua một AWS instance, nhưng với các biện pháp bảo mật hiện có như NVDIA NemoClaw thì có sự phụ thuộc vào phần cứng và trên thực tế phải quản lý hạ tầng như Kubernetes; còn nếu chỉ đơn giản chạy trong Docker thì ngay từ đầu nó được thiết kế như một container đơn giản nên khó thiết kế chính sách hay kiểm soát quyền hạn.

Vì vậy tôi đã tạo ra một lớp bảo mật nhẹ mà không cần hạ tầng bổ sung, và xây dựng lớp bảo mật này gồm hai tệp nhị phân Rust. Nó không có thêm phụ thuộc nào và cũng hoạt động trong các môi trường khác, nhưng vì tận dụng các tính năng kernel của Linux nên khuyến nghị dùng môi trường Linux.

Các thành phần kỹ thuật của dự án này như sau.

1. Proxy phân loại toàn bộ lưu lượng outbound HTTP/HTTPS thành allow/deny/delay... theo nội dung chính sách
2. seccomp-bpf và cô lập namespace để ngăn tác nhân vượt qua proxy
3. Ngăn việc lạm dụng quyền syscall của tác nhân và cấm thao tác trực tiếp với tệp cục bộ bằng hệ thống overlayfs
4. Ngăn rò rỉ bằng cách khiến tác nhân không thể biết API key thông qua secret injection

Nội dung triển khai kỹ thuật chi tiết hơn đã được tài liệu hóa trên GitHub, tách riêng theo từng phần. Các bài kiểm tra chịu tải cơ bản như an toàn bộ nhớ và ngăn trạng thái mồ côi khi kết thúc đã hoàn tất, đồng thời cũng đã vượt qua các bài kiểm tra với thời gian chạy hơn 60 phút. (chạy OpenClaw, Hermes agent trên AWS instance) Độ trễ cũng được đo là ở mức không đáng kể so với việc thực thi agent thực tế.

Tôi nghĩ công cụ này sẽ hữu ích cho những ai như tôi đang dùng tác nhân trên máy chủ Linux trong production, hoặc cần debug hay kiểm soát lưu lượng của agent. Vì là công cụ dựa trên CLI nên UI có thể hơi bất tiện, nhưng bạn cũng có thể kiểm tra đơn giản qua một trang HTML tĩnh. Rất hoan nghênh báo lỗi, phản hồi và các câu hỏi khác!