astrid: 一个为 AI agent 设计的模块化操作系统,通过 WASM 沙箱和加密能力实现安全保障
astrid: 一个为 AI agent 设计的模块化操作系统,通过 WASM 沙箱和加密能力实现安全保障
它解决了什么问题
Agent 框架通常依赖提示词(prompts)来确保安全,但当 agent 拥有访问敏感文件、网络和凭据的权限时,这种方式是不够的。Unicity Astrid OS 用运行时强制执行的安全边界取代了基于提示词的信任,将 AI agent 视为操作系统中的隔离进程,以防止越狱、中毒工具或 bug 访问未经授权的资源。
工作原理
Astrid 使用一个轻量级的、“笨”内核,负责管理事件总线并强制执行能力(capabilities),而不持有任何业务逻辑或模型状态。AI 能力(模型、内存、工具)被实现为密封的 WebAssembly (WASM) "capsules"(胶囊),它们在没有任何环境权限的沙箱中运行。
通信通过总线上的 IPC 事件进行,每一个外部操作(文件访问、网络调用)都必须是经过能力检查的主机调用。该系统采用了多层安全方法,包括加密能力令牌 (ed25519)、WASM 沙箱、基于清单的白名单以及经过签名、哈希链接的审计链,以确保所有操作都是可验证且隔离的。
适用对象
需要操作系统级安全、不同 agent 身份(principals)之间严格的资源隔离,以及在不重启系统的情况下热插拔 agent 能力的开发者。
亮点
- WASM Capsule 架构:模块化能力被封装为 WASM 组件,可以进行实时安装、更新或移除。
- 加密能力模型:资源访问受签名的、范围受限且可撤销的授权控制,而非模型指令。
- 逐身份隔离 (Per-Principal Isolation):为身份提供完全的租户隔离,包括独立的密钥、主目录和审计链。
- 强化安全:具备 SSRF airlock、本地出口许可(local-egress consent)以及五层安全门,以防止未经授权的主机访问。
Sources
- undefinedunicity-astrid/astrid