Luisa Crawford
30 jan 2026 16:35
NVIDIA's AI Red Team publiceert verplichte beveiligingscontroles voor AI-codeeringsagents, gericht op prompt injection-aanvallen en sandbox escape-kwetsbaarheden.
NVIDIA's AI Red Team bracht op 30 januari een uitgebreid beveiligingsframework uit dat zich richt op een groeiende blinde vlek in ontwikkelaarswerkstromen: AI-codeeringsagents die draaien met volledige gebruikersrechten. De richtlijn komt terwijl de markt voor netwerkbeveiligingssandboxen toeneemt richting $368 miljard en recente kwetsbaarheden zoals CVE-2025-4609 iedereen eraan herinneren dat sandbox escapes een reële bedreiging blijven.
Het kernprobleem? AI-codeeringsassistenten zoals Cursor, Claude en GitHub Copilot voeren commando's uit met welke toegang de ontwikkelaar ook heeft. Een aanvaller die een repository vergiftigt, kwaadaardige instructies in een .cursorrules-bestand stopt of een MCP-serverreactie compromitteert, kan de acties van de agent volledig kapen.
Drie Niet-Onderhandelbare Controles
Het framework van NVIDIA identificeert drie controles die het Red Team als verplicht beschouwt—geen suggesties, vereisten:
Vergrendeling van netwerkuitgang. Blokkeer alle uitgaande verbindingen behalve naar expliciet goedgekeurde bestemmingen. Dit voorkomt gegevensexfiltratie en reverse shells. Het team beveelt HTTP-proxy-afdwinging aan, aangewezen DNS-resolvers en weigeringslijsten op bedrijfsniveau die individuele ontwikkelaars niet kunnen overschrijven.
Alleen bestandsschrijfacties in workspace. Agents mogen niets aanraken buiten de actieve projectdirectory. Schrijven naar ~/.zshrc of ~/.gitconfig opent deuren voor persistentiemechanismen en sandbox escapes. NVIDIA wil hier handhaving op OS-niveau, geen beloften op applicatielaag.
Bescherming van configuratiebestanden. Deze is interessant—zelfs bestanden binnen de workspace hebben bescherming nodig als het configuratiebestanden van agents zijn. Hooks, MCP-serverdefinities en vaardigheidsscripts worden vaak uitgevoerd buiten sandboxcontexten. De richtlijn is duidelijk: geen agentwijzigingen van deze bestanden, punt uit. Alleen handmatige gebruikersbewerkingen.
Waarom Controles op Applicatieniveau Falen
Het Red Team maakt een overtuigend argument voor handhaving op OS-niveau boven beperkingen op app-laag. Zodra een agent een subproces spawnt, verliest de bovenliggende applicatie zichtbaarheid. Aanvallers schakelen routinematig goedgekeurde tools aan elkaar om geblokkeerde te bereiken—het aanroepen van een beperkt commando via een veiligere wrapper.
macOS Seatbelt, Windows AppContainer en Linux Bubblewrap kunnen beperkingen afdwingen onder de applicatielaag, waarbij indirecte uitvoeringspaden worden onderschept die allowlists missen.
De Strengere Aanbevelingen
Naast het verplichte trio schetst NVIDIA controles voor organisaties met een lagere risicotolerantie:
Volledige virtualisatie—VM's, Kata-containers of unikernels—isoleert de sandbox-kernel van de host. Oplossingen met gedeelde kernel zoals Docker laten kernelkwetsbaarheden exploiteerbaar. De overhead is reëel maar wordt vaak overschaduwd door LLM-inferentielatentie.
Secret-injectie in plaats van overerving. Machines van ontwikkelaars zijn geladen met API-sleutels, SSH-credentials en AWS-tokens. Sandboxen starten met lege credentialsets en alleen injecteren wat nodig is voor de huidige taak beperkt de schaderadius.
Levenscyclusbeheer voorkomt artefactaccumulatie. Langlopende sandboxen verzamelen afhankelijkheden, gecachte credentials en eigendomscode die aanvallers kunnen hergebruiken. Efemere omgevingen of geplande vernietiging pakken dit aan.
Wat Dit Betekent voor Ontwikkelteams
De timing is belangrijk. AI-codeeringsagents zijn voor veel teams van nieuwigheid naar noodzaak gegaan, maar beveiligingspraktijken hebben dit tempo niet bijgehouden. Handmatige goedkeuring van elke actie creëert gewenning—ontwikkelaars stemmen verzoeken goed zonder ze te lezen.
NVIDIA's gelaagde benadering biedt een middenweg: weigeringslijsten op bedrijfsniveau die niet kunnen worden overschreven, lezen-schrijven in workspace zonder wrijving, specifieke allowlists voor legitieme externe toegang en standaard-weigeren met geval-tot-geval goedkeuring voor al het andere.
Het framework vermijdt expliciet het aanpakken van outputnauwkeurigheid of vijandige manipulatie van AI-suggesties—die blijven de verantwoordelijkheid van ontwikkelaars. Maar voor het uitvoeringsrisico dat komt van het geven van AI-agents echte systeemtoegang? Dit is de meest gedetailleerde openbare richtlijn beschikbaar van het beveiligingsteam van een grote leverancier.
Afbeeldingsbron: Shutterstock
Bron: https://blockchain.news/news/nvidia-ai-agent-security-framework-sandbox-controls
