Луиза Кроуфорд
30 января 2026 16:35
ИИ-команда безопасности NVIDIA публикует обязательные меры безопасности для ИИ-агентов программирования, устраняя атаки с инъекцией промптов и уязвимости выхода из песочницы.
ИИ-команда безопасности NVIDIA представила 30 января комплексную структуру безопасности, нацеленную на растущую слепую зону в рабочих процессах разработчиков: ИИ-агенты программирования, работающие с полными пользовательскими разрешениями. Руководство появляется в то время, как рынок песочниц сетевой безопасности разрастается до $368 млрд, а недавние уязвимости, такие как CVE-2025-4609, напоминают всем, что выход из песочницы остается реальной угрозой.
Основная проблема? ИИ-помощники программирования, такие как Cursor, Claude и GitHub Copilot, выполняют команды с любым доступом, который есть у разработчика. Злоумышленник, который отравляет репозиторий, внедряет вредоносные инструкции в файл .cursorrules или компрометирует ответ MCP-сервера, может полностью перехватить действия агента.
Три Обязательных Контроля
Структура NVIDIA определяет три контроля, которые команда безопасности считает обязательными — не предложениями, а требованиями:
Блокировка исходящего сетевого трафика. Блокировать все исходящие соединения, за исключением явно утвержденных назначений. Это предотвращает утечку данных и обратные оболочки. Команда рекомендует применение HTTP-прокси, назначенные DNS-резолверы и корпоративные списки запретов, которые отдельные разработчики не могут переопределить.
Запись файлов только в рабочем пространстве. Агенты не должны касаться ничего за пределами активного каталога проекта. Запись в ~/.zshrc или ~/.gitconfig открывает двери для механизмов постоянства и выхода из песочницы. NVIDIA хочет применение на уровне ОС, а не обещания на уровне приложений.
Защита конфигурационных файлов. Это интересно — даже файлы внутри рабочего пространства нуждаются в защите, если они являются конфигурационными файлами агента. Хуки, определения MCP-серверов и скрипты навыков часто выполняются вне контекста песочницы. Руководство категорично: никакой модификации этих файлов агентом, точка. Только ручное редактирование пользователем.
Почему Контроль На Уровне Приложений Не Работает
Команда безопасности приводит убедительные аргументы в пользу применения на уровне ОС вместо ограничений на уровне приложений. Как только агент порождает подпроцесс, родительское приложение теряет видимость. Злоумышленники регулярно связывают одобренные инструменты для достижения заблокированных — вызывая ограниченную команду через более безопасную оболочку.
macOS Seatbelt, Windows AppContainer и Linux Bubblewrap могут применять ограничения ниже уровня приложений, перехватывая косвенные пути выполнения, которые пропускают белые списки.
Более Строгие Рекомендации
Помимо обязательной тройки, NVIDIA описывает меры контроля для организаций с более низкой толерантностью к рискам:
Полная виртуализация — виртуальные машины, контейнеры Kata или юникернелы — изолирует ядро песочницы от хоста. Решения с общим ядром, такие как Docker, оставляют уязвимости ядра эксплуатируемыми. Накладные расходы реальны, но часто затмеваются задержкой вывода LLM.
Инъекция секретов вместо наследования. Машины разработчиков загружены ключами API, SSH-учетными данными и токенами AWS. Запуск песочниц с пустыми наборами учетных данных и внедрение только того, что необходимо для текущей задачи, ограничивает радиус поражения.
Управление жизненным циклом предотвращает накопление артефактов. Долго работающие песочницы собирают зависимости, кэшированные учетные данные и проприетарный код, которые злоумышленники могут использовать повторно. Эфемерные среды или запланированное уничтожение решают это.
Что Это Значит Для Команд Разработки
Время имеет значение. ИИ-агенты программирования перешли от новинки к необходимости для многих команд, но практики безопасности не успевают. Ручное одобрение каждого действия создает привыкание — разработчики механически одобряют запросы, не читая их.
Многоуровневый подход NVIDIA предлагает средний путь: корпоративные списки запретов, которые нельзя переопределить, чтение-запись в рабочем пространстве без трений, конкретные белые списки для законного внешнего доступа и запрет по умолчанию с индивидуальным одобрением для всего остального.
Структура явно избегает решения вопросов точности вывода или враждебных манипуляций с предложениями ИИ — это остается ответственностью разработчиков. Но для риска выполнения, который возникает при предоставлении ИИ-агентам реального системного доступа? Это самое подробное публичное руководство, доступное от команды безопасности крупного поставщика.
Источник изображения: Shutterstock
Источник: https://blockchain.news/news/nvidia-ai-agent-security-framework-sandbox-controls
