Вики
Блог nikolskiy.dev

Agent Sandboxing

Sandboxing — изолированная среда исполнения для агента/инструментов, чтобы взломанный через инъекцию агент не вырвался за периметр. Спектр: Docker (быстрый, слабая изоляция — общее ядро) → VM (сильная, медленная) → Firecracker / E2B microVM (золотой стандарт 2026: скорость контейнера + изоляция VM, старт ~150 мс).

status/volatile «Стандарт 2026», список технологий (Firecracker, E2B, Docker Sandboxes) и тайминги (~150 мс) быстро устаревают. Ревизия раз в квартал.

Суть

Любая защита на уровне промпта пробиваема, поэтому последний барьер — аппаратная граница. Если агенту дали инструменты execute_code / bash, изоляция исполнения обязательна: даже при успешном Tool Hijacking ущерб ограничен изолированной машиной.

Зачем это нужно

Это «ограничение последствий» — то, на что упирается даже «сорвавшаяся» после Jailbreak Attacks модель. Для computer-use агентов (Computer Use) изоляция — часть базовой защиты (никогда не на хосте, не маунтить docker.sock).

Как работает (спектр изоляции)

Технология Изоляция Старт Когда
Docker-контейнеры Слабая — все делят одно ядро ОС хоста Медленнее VM-микро Обычный веб-сервис (Next.js)
VM Сильная Секунды, большой overhead Когда нужна полная изоляция, скорость неважна
E2B / Firecracker microVM Сильная (своё ядро через KVM) ~150 мс Агент с execute_code / bash — золотой стандарт

Firecracker (от AWS, та же технология, что AWS Lambda):

  • Каждый microVM получает изолированное ядро через KVM (аппаратная виртуализация) — выйти за периметр невозможно.
  • Написан на Rust — исключает целые классы уязвимостей (buffer overflow, memory safety).
  • Минималистичная модель устройств; изоляция процесса через cgroups, namespaces, seccomp BPF; сам процесс заперт через утилиту Jailer.
  • microVM даёт полноценную среду (включая Docker внутри) без доступа к хосту.
  • Scoped permissions — каждый microVM получает только нужные для задачи права.

Тренд 2026: в апреле 2026 Docker выпустил Sandboxes — каждый агент в microVM с приватным Docker внутри (Docker признал, что собственной изоляции контейнеров для агентных нагрузок недостаточно).

Спорный/устаревающий тезис Ранее Docker считался достаточной основой деплоя агента. Для агентов с доступом к коду это устаревает: «докер-контейнеры — это медленно… их изоляции недостаточно для агентных нагрузок». Для обычного веб-сервиса Docker по-прежнему ок.

Связано с

  • Tool Hijacking — что именно ограничивает sandbox
  • Jailbreak Attacks — «ограничение последствий» сорвавшейся модели
  • Guardrails — sandbox как Action-слой защиты
  • Computer Use — Firecracker/gVisor для агента, управляющего экраном
  • Agent Security — место изоляции в модели угроз

Открытые вопросы

  • E2B (managed) vs self-hosted Firecracker — где граница по стоимости/контролю?