astrid: 一個為 AI agent 設計的模組化 OS,透過 WASM 沙箱化與加密能力來強化安全性
astrid: 一個為 AI agent 設計的模組化 OS,透過 WASM 沙箱化與加密能力來強化安全性
它解決了什麼問題
Agent 框架通常依賴提示詞(prompts)來確保安全性,但當 agent 能夠存取敏感檔案、網路和憑證時,這種方式是不夠的。Unicity Astrid OS 以運行時強制執行的安全邊界取代了基於提示詞的信任,將 AI agent 視為作業系統中的隔離程序,以防止越獄(jailbreaks)、受污染的工具或錯誤導致存取未經授權的資源。
運作原理
Astrid 使用一個小型且「笨拙」的核心(kernel),負責管理事件匯流排(event bus)並執行能力檢查,而不持有任何業務邏輯或模型狀態。AI 能力(模型、記憶、工具)是以封閉的 WebAssembly (WASM) 「膠囊」(capsules)形式實現,並在沒有環境權限(ambient authority)的沙箱中執行。
通訊是透過匯流排上的 IPC 事件進行,且每一項外部操作(檔案存取、網路呼叫)都必須是經過能力檢查的主機呼叫(host call)。該系統採用多層次安全方法,包括加密能力權杖(ed25519)、WASM 沙箱化、基於清單(manifest)的允許清單,以及經過簽署且雜湊連結的稽核鏈,以確保所有操作皆可驗證且相互隔離。
對象是誰
需要作業系統級別安全性、不同 agent 身分(principals)之間嚴格的資源隔離,以及在不重啟系統的情況下熱插拔 agent 能力的開發者。
重點特色
- WASM Capsule 架構:模組化能力以 WASM 組件形式封裝,可進行即時安裝、更新或移除。
- 加密能力模型:資源存取由經過簽署、範圍限定且可撤銷的授權來管理,而非依賴模型指令。
- 單一主體隔離:為身分提供完整的租戶隔離,包括獨立的機密資訊、家目錄和稽核鏈。
- ** 強化安全性:具備 SSRF 隔離艙(airlock)、本地出口(local-egress)同意機制,以及五層安全閘門,以防止未經授權的主機存取。
Sources
- undefinedunicity-astrid/astrid