Agent Sandboxは、安定したアイデンティティと永続ストレージを備えた単一のステートフルPodを管理するための宣言的APIを提供する、オープンソースのKubernetesコントローラーである。信頼できないLLM生成コードを実行するための隔離環境の構築に特に適しており、他のステートフルワークロードの実行にも向いている。
エフェメラルな環境を実行することは、信頼できないコードをクラスター上で直接実行する際のリスクを低減する。そうしたコードは、他のアプリケーションに干渉したり、基盤となるクラスターのノード自体にアクセスしたりする可能性があるからだ。
Agent Sandboxは、大規模言語モデル(LLM)が生成したコードなど、信頼できないコードを実行するための安全で隔離された環境を提供する。この種のコードをクラスター上で直接実行することは、他のアプリや基盤となるクラスターのノード自体にアクセスまたは干渉する可能性があるため、セキュリティリスクを伴う。
Agent Sandboxは、gVisorを用いてアプリケーションとクラスターのノードOSとの間に安全なバリアを構築することで隔離を実現している。また、Kata Containersのような他のサンドボックス技術も活用可能だ。
Sandboxのカスタムリソース定義(CRD)は、安定したアイデンティティ、再起動をまたいで保持される永続ストレージ、作成、スケジュール削除、一時停止、再開といったライフサイクル管理機能を提供する。さらに、ネットワーク再接続時のサンドボックス自動再開、サンドボックス間のメモリ共有、アプリケーションやエージェントからサンドボックスを制御できる豊富なAPIもサポートしている。
Sandbox APIに加えて、Agent Sandboxは、多数の類似サンドボックスを簡単に定義するためのテンプレート機構(SandboxTemplate)と、それらを生成する仕組み(SandboxClaim)を提供する。また、新しいサンドボックスの起動に要する時間を短縮するため、事前にウォームアップされたサンドボックスPodのプールも備えている。
AIエージェントの隔離にとどまらず、Agent Sandboxは、安定したアイデンティティを必要とするビルドエージェントや小規模データベースのような単一インスタンスアプリケーションのホスティング、さらにはJupyter Notebooksのようなツール向けの永続的な単一コンテナセッションの実行にも適している。
OWASPは、AIエージェントに対するトップ10の脅威の一つとして、エージェントによるツール操作の不正な誘導(Agent Tool Interaction manipulation)を特定している。
Agent Tool Interaction manipulationの脆弱性は、AIエージェントが重要インフラ、IoTデバイス、または機密性の高い運用システムを含み得るツールと相互作用する際に発生します。この脆弱性クラスは、ツールが意図しない方法で操作される可能性があるため、特に危険です。
OWASPによれば、この種の攻撃を防ぐための主要な対策は、システム隔離の実装であり、これにアクセス分離、権限管理、コマンド検証、その他のセーフガードを組み合わせることだ。
セキュリティエンジニアのYassine Bargach氏は、HackerNook上で、すべてのAIエージェントにはサンドボックスが必要だと述べている。同氏は、AIエージェントの脆弱性がリモートコード実行(RCE)につながり得ることを示す最近のインシデントや脆弱性開示を引用している。例として、Horizon3が発見したlangflowのRCE、Cursorにおける自動実行を通じたRCEを可能にする脆弱性、Replitに影響したデータベース消去事案などが挙げられている。同氏はまた、悪意あるプロンプトエンジニアリングによるリスクを軽減する最良の方法はサンドボックス化である可能性が高いと強調している。
これらの攻撃に対抗するために行われている作業の大半は、ガードレール、分類器、スキャナーに焦点を当てています。理論上は、これでほとんどの問題が解決されるはずです。しかし問題は、各ユーザー入力が悪意あるものかどうかを確認することに時間を費やすべきなのか、それともエンドユーザーに影響を与えない安全な環境で何でも実行可能にする方が良いのか、という点です。
AIエージェントのサンドボックス化に関心のある開発者は、Agent Sandboxの代替として、container-useやLightning AI社のlitsandboxも検討できる。