astrid: WASMサンドボックスと暗号化機能によってセキュリティを強制するAIエージェント向けモジュール式OS
astrid: WASMサンドボックスと暗号化機能によってセキュリティを強制するAIエージェント向けモジュール式OS
何を解決するか
エージェントフレームワークは、セキュリティを確保するためにプロンプトに依存することが多く、エージェントが機密ファイル、ネットワーク、および資格情報にアクセスできる場合、それだけでは不十分です。Unicity Astrid OSは、プロンプトベースの信頼を、ランタイムで強制されるセキュリティ境界に置き換え、AIエージェントをオペレーティングシステム内の隔離されたプロセスのように扱うことで、ジェイルブレイク、汚染されたツール、またはバグによる不正なリソースへのアクセスを防ぎます。
仕組み
Astridは、イベントバスを管理し、ビジネスロジックやモデルの状態を保持せずに機能(capabilities)を強制する、小型で「単純な」カーネルを使用します。AI機能(モデル、メモリ、ツール)は、周囲の権限を持たないサンドボックス内で実行される、封印されたWebAssembly (WASM) "capsules"として実装されます。
通信はバス経由のIPCイベントを介して行われ、すべての外部アクション(ファイルアクセス、ネットワークコール)は、機能チェックが行われるホストコールである必要があります。このシステムは、暗号化機能トークン (ed25519)、WASMサンドボックス、マニフェストベースの許可リスト、および署名付きのハッシュリンクされた監査チェーンを採用しており、すべての操作が検証可能で隔離されていることを保証します。
対象ユーザー
OSグレードのセキュリティ、異なるエージェントのアイデンティティ(principals)間の厳格なリソース隔離、およびシステムを再起動せずにエージェントの機能をホットスワップできる機能を必要とする、AIエージェントを構築する開発者。
ハイライト
- WASM Capsule Architecture: モジュール式機能がWASMコンポーネントとしてパッケージ化されており、ライブでインストール、更新、または削除が可能です。
- Cryptographic Capability Model: リソースへのアクセスは、モデルの指示ではなく、署名付き、スコープ付き、および取り消し可能な許可によって管理されます。
- Per-Principal Isolation: アイデンティティごとに完全なテナント隔離が行われ、個別のシークレット、ホームディレクトリ、および監査チェーンが含まれます。
- Hardened Security: SSRFエアロック、ローカルエグレス同意、および不正なホストアクセスを防ぐための5層のセキュリティゲートを特徴としています。
Sources
- undefinedunicity-astrid/astrid