Проблема безопасности кодовых ИИ-агентов давно известна: агент, запущенный от имени пользователя, имеет доступ ко всем его секретам — OAuth-токенам, SSH-ключам, ключам доступа к облакам. В предыдущей статье автор выделил шесть классов угроз: случайный rm -rf, промпт-инъекцию, малварь, использующую агент как инструмент разведки, атаку на цепочку поставок, кражу токенов доступа и каскадную CI/CD-компрометацию. Общий знаменатель — процесс агента, обладающего полными правами пользователя.
Docker предложил Docker Sandbox — утилиту sbx, которая создаёт лёгкую microVM с собственным ядром. В отличие от контейнера, sandbox не разделяет ядро с хостом: системные вызовы изолированы гипервизором. Внутри microVM работает независимый Docker-демон — агент может собирать образы и запускать контейнеры, но сокет хостового Docker недоступен. Агент видит только те файлы, которые пользователь явно пробросил. Сетевые политики позволяют блокировать внешние запросы, а управление секретами осуществляется через отдельные механизмы.
| Класс угрозы из первой части статьи | Закрывает ли ее sbx | Почему |
|---|---|---|
| Случайный rm -rf | ✅ Полностью | Файловая система вне рабочей директории недоступна |
| Промпт-инъекция | ❌ Нет | Модель получит ту же инструкцию, sbx ограничивает только blast radius |
| Малварь, использующая агент | ⚠️ Частично | Вредонос крутится в microVM, до хост-секретов не дотянется |
| Атака на цепочку поставок через агент | ⚠️ Частично | Зависимость отравлена, но не выходит за периметр sandbox |
| Кража токенов | ⚠️ Частично | Хост-секреты закрыты, секреты в рабочей директории — нет |
| Компрометация CI/CD | ⚠️ Частично | Если CI-токен попал в sandbox, то он доступен изнутри. Sandbox — не магия |
Установка сводится к трём командам, а управление — через CLI sbx. Встроенные сетевые политики дают возможность задавать файрвол «из коробки». Флаг --dangerously-skip-permissions доступен для тестов. Инструмент активно развивается: первоначальная версия в Docker Desktop помечена как устаревшая, документация несколько раз переписывалась. Для разработчиков, которые хотят использовать агентов без риска потери токенов и без затрат на полноценные VM, Docker Sandbox может стать стандартным решением.
Docker Sandbox создаёт отдельную microVM с собственным ядром, что принципиально отличается от изоляции обычных контейнеров.
