近日,Amla-labs在GitHub上发布了amla-sandbox项目,旨在解决大型语言模型(LLM)驱动的智能体框架中,通过`subprocess`或`exec()`执行模型生成代码所带来的严重安全隐患。该方案提供了一种无需依赖Docker或虚拟机(VM)的轻量级运行时隔离机制,以应对日益增长的提示注入攻击风险。
当前许多智能体框架,如AutoGen,依赖Docker进行隔离,但这引入了额外的基础设施管理负担和启动延迟。amla-sandbox则直接利用WebAssembly(WASM)的固有内存安全特性,确保了代码执行环境与宿主系统之间的严格隔离。
该沙箱基于WASM和WASI(WebAssembly System Interface),提供了一个受限的系统调用接口,并严格实施了能力限制安全模型。智能体只能调用开发者明确提供的工具,且访问权限受到严格定义,有效限制了潜在的攻击面。
技术实现上,amla-sandbox借鉴了seL4微内核中的能力导向安全设计,这意味着权限并非默认授予,而是需要明确授权,从而在根本上防御了未知的提示注入漏洞的破坏。
此外,该方案解决了工具调用效率低下的问题,即传统上每一次工具调用都需要一次完整的LLM往返。通过代码模式(Code Mode),amla-sandbox能够高效地串联多个工具调用,在保持安全隔离的同时提升了执行效率。
沙箱内部集成了QuickJS作为JavaScript运行时,并为文件系统(VFS)设置了严格的读写边界,例如写入操作仅限于`/workspace`和`/tmp`目录。需要注意的是,该方案不支持完整的Linux环境、原生模块或GPU访问,定位为通用代码执行控制场景。
目前,Python代码遵循MIT许可协议,但核心WASM运行时仍为专有代码,不过官方表示正在推进其开源工作。amla-sandbox为追求隔离性与效率的智能体开发者提供了一个无需复杂基础设施的新选择。
