Luisa Crawford
30 sty 2026 16:35
Zespół AI Red Team firmy NVIDIA publikuje obowiązkowe kontrole bezpieczeństwa dla agentów kodowania AI, zajmując się atakami typu prompt injection i lukami w zabezpieczeniach umożliwiającymi ucieczkę z piaskownicy.
Zespół AI Red Team firmy NVIDIA opublikował 30 stycznia kompleksowe ramy bezpieczeństwa ukierunkowane na rosnący martwy punkt w przepływach pracy deweloperów: agentów kodowania AI działających z pełnymi uprawnieniami użytkownika. Wytyczne pojawiają się w momencie, gdy rynek piaskownicy bezpieczeństwa sieciowego rośnie w kierunku 368 miliardów dolarów, a ostatnie luki w zabezpieczeniach, takie jak CVE-2025-4609, przypominają wszystkim, że ucieczki z piaskownicy pozostają realnym zagrożeniem.
Główny problem? Asystenci kodowania AI, tacy jak Cursor, Claude i GitHub Copilot, wykonują polecenia z dostępem, jaki ma deweloper. Atakujący, który zatruwa repozytorium, wstawia złośliwe instrukcje do pliku .cursorrules lub kompromituje odpowiedź serwera MCP, może całkowicie przejąć działania agenta.
Trzy niewzruszalne kontrole
Ramy NVIDIA identyfikują trzy kontrole, które zespół Red Team uznaje za obowiązkowe — nie sugestie, wymagania:
Blokada ruchu wychodzącego z sieci. Blokowanie wszystkich połączeń wychodzących z wyjątkiem wyraźnie zatwierdzonych miejsc docelowych. Zapobiega to eksfiltracji danych i odwrotnym powłokom. Zespół zaleca egzekwowanie proxy HTTP, wyznaczone resolvery DNS i listy odmowy na poziomie przedsiębiorstwa, których poszczególni deweloperzy nie mogą zastąpić.
Zapisy plików tylko w obszarze roboczym. Agenci nie powinni dotykać niczego poza aktywnym katalogiem projektu. Zapisywanie do ~/.zshrc lub ~/.gitconfig otwiera drzwi do mechanizmów trwałości i ucieczek z piaskownicy. NVIDIA chce tutaj egzekwowania na poziomie systemu operacyjnego, a nie obietnic na poziomie aplikacji.
Ochrona plików konfiguracyjnych. To jest interesujące — nawet pliki wewnątrz obszaru roboczego wymagają ochrony, jeśli są plikami konfiguracyjnymi agenta. Hooki, definicje serwera MCP i skrypty umiejętności często wykonują się poza kontekstem piaskownicy. Wytyczne są bezpośrednie: żadnej modyfikacji tych plików przez agenta, kropka. Tylko ręczne edycje użytkownika.
Dlaczego kontrole na poziomie aplikacji zawodzą
Zespół Red Team przedstawia przekonujące argumenty za egzekwowaniem na poziomie systemu operacyjnego zamiast ograniczeń na poziomie aplikacji. Gdy agent tworzy podproces, aplikacja nadrzędna traci widoczność. Atakujący rutynowo łączą zatwierdzone narzędzia w łańcuchy, aby dotrzeć do zablokowanych — wywołując ograniczone polecenie przez bezpieczniejszą otoczkę.
macOS Seatbelt, Windows AppContainer i Linux Bubblewrap mogą wymuszać ograniczenia poniżej warstwy aplikacji, przechwytując pośrednie ścieżki wykonania, które omijają listy dozwolonych.
Trudniejsze zalecenia
Poza obowiązkowym trio, NVIDIA przedstawia kontrole dla organizacji o niższej tolerancji ryzyka:
Pełna wirtualizacja — maszyny wirtualne, kontenery Kata lub unikernele — izoluje jądro piaskownicy od hosta. Rozwiązania ze współdzielonym jądrem, takie jak Docker, pozostawiają luki w jądrze podatne na wykorzystanie. Narzut jest rzeczywisty, ale często jest przyćmiony przez opóźnienie wnioskowania LLM.
Wstrzykiwanie sekretów zamiast dziedziczenia. Maszyny deweloperskie są załadowane kluczami API, poświadczeniami SSH i tokenami AWS. Uruchamianie piaskownicy z pustymi zestawami poświadczeń i wstrzykiwanie tylko tego, co jest potrzebne do bieżącego zadania, ogranicza promień rażenia.
Zarządzanie cyklem życia zapobiega gromadzeniu artefaktów. Długo działające piaskownice gromadzą zależności, buforowane poświadczenia i zastrzeżony kod, które atakujący mogą wykorzystać ponownie. Rozwiązaniem są środowiska efemeryczne lub zaplanowane niszczenie.
Co to oznacza dla zespołów deweloperskich
Wyczucie czasu ma znaczenie. Agenci kodowania AI przeszli od nowości do konieczności dla wielu zespołów, ale praktyki bezpieczeństwa nie nadążają. Ręczne zatwierdzanie każdego działania tworzy przyzwyczajenie — deweloperzy rutynowo zatwierdzają żądania bez ich czytania.
Podejście wielopoziomowe NVIDIA oferuje środkową drogę: listy odmowy przedsiębiorstwa, których nie można zastąpić, odczyt-zapis obszaru roboczego bez tarcia, specyficzne listy dozwolonych dla legalnego dostępu zewnętrznego oraz domyślne odrzucenie z zatwierdzeniem indywidualnym dla wszystkiego innego.
Ramy wyraźnie unikają zajmowania się dokładnością wyników lub manipulacją przeciwniczą sugestiami AI — te pozostają w odpowiedzialności deweloperów. Ale jeśli chodzi o ryzyko wykonania wynikające z nadania agentom AI rzeczywistego dostępu do systemu? To są najbardziej szczegółowe publiczne wytyczne dostępne od zespołu bezpieczeństwa głównego dostawcy.
Źródło obrazu: Shutterstock
Źródło: https://blockchain.news/news/nvidia-ai-agent-security-framework-sandbox-controls
