論文の概要: Sandlock: Confining AI Agent Code with Unprivileged Linux Primitives
- arxiv url: http://arxiv.org/abs/2605.26298v1
- Date: Mon, 25 May 2026 19:51:30 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-27 17:51:41.389997
- Title: Sandlock: Confining AI Agent Code with Unprivileged Linux Primitives
- Title(参考訳): Sandlock: 特権のないLinuxプリミティブでAIエージェントコードを精算する
- Authors: Cong Wang, Yusheng Zheng,
- Abstract要約: Sandlockは、単純な分割を中心に構成された軽量なLinuxプロセスサンドボックスである。
動的ネットワーク決定、HTTPレベルのアクセス制御、TOCTOUセーフなエグゼクティブ引数の検査、可逆効果をサポートする。
- 参考スコア(独自算出の注目度): 5.253963000405894
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: AI agents increasingly run untrusted code on developer machines: shell commands generated by language models, third-party scripts retrieved at runtime, and tool plugins of unknown provenance. Existing isolation mechanisms impose tradeoffs that fit this workload poorly: containers and microVMs add privilege, image-management, and startup costs, while ad-hoc process controls and wrappers (e.g. chroot, ulimit) provide weak guarantees and little syscall-level control. Sandlock is a lightweight Linux process sandbox organized around a simple split: static, input-independent policy is compiled into kernel-enforced rules, while a narrow supervisor handles runtime-dependent decisions and virtualized effects. This split lets Sandlock enforce filesystem, network, IPC, and syscall policies without root, cgroups, images, or mandatory namespaces. It also supports dynamic network decisions, HTTP-level access control, TOCTOU-safe inspection of execve arguments, and reversible filesystem effects. On our workstation, Sandlock adds roughly 5 ms of startup overhead and runs Redis at bare-metal throughput (within measurement noise); its pipeline operator further supports per-stage confinement for separating data, network, and untrusted-content capabilities. Sandlock is available at https://github.com/multikernel/sandlock
- Abstract(参考訳): AIエージェントは、言語モデルによって生成されたシェルコマンド、実行時に取得されたサードパーティスクリプト、未知の成果物のツールプラグインなど、信頼できないコードを開発者マシンでますます実行します。
コンテナとマイクロVMは特権、イメージ管理、起動コストを追加し、アドホックなプロセスコントロールとラッパー(例えばchroot、ulimit)は、弱い保証とシスコールレベルのコントロールを提供する。
Sandlockは、単純な分割を中心に構成された軽量なLinuxプロセスサンドボックスである。静的で入力に依存しないポリシーは、カーネル強化されたルールにコンパイルされる。
この分割により、Sandlockはルート、cgroup、イメージ、強制的な名前空間なしでファイルシステム、ネットワーク、IPC、syscallポリシーを強制することができる。
また、動的ネットワーク決定、HTTPレベルのアクセス制御、TOCTOUセーフなエグゼクティブ引数の検査、可逆的なファイルシステム効果もサポートする。
当社のワークステーションでは、約5ミリ秒の起動オーバーヘッドを追加し、(測定ノイズなしで)ベアメタルスループットでRedisを実行しています。
Sandlockはhttps://github.com/multikernel/sandlockで利用可能である。
関連論文リスト
- The Path Matters: Learning a Token-Commitment Policy for Diffusion Language Models [52.93186090124315]
トークンのコミットメントは、再利用可能なトレースステートポリシとして学ぶことができる、と私たちは主張する。
凍結拡散言語モデルのためにこのポリシーをインスタンス化する軽量プラグインコントローラであるTraceLockを紹介する。
論文 参考訳(メタデータ) (2026-05-23T18:23:46Z) - ExploitGym: Can AI Agents Turn Security Vulnerabilities into Real Attacks? [92.21756459993695]
低レベルのプログラム推論を必要とするため、爆発は難しい作業です。
その重要性と診断価値にもかかわらず、搾取は未評価のままである。
ExploitGymは、AIエージェントのエクスプロイト能力に関する大規模で多様な、現実的なベンチマークである。
論文 参考訳(メタデータ) (2026-05-11T18:00:14Z) - A Systematic Taxonomy of Security Vulnerabilities in the OpenClaw AI Agent Framework [9.723337441030283]
脆弱性は、(1)アーキテクチャレイヤ(実行ポリシー、ゲートウェイ、チャネル、サンドボックス、ブラウザ、プラグイン、エージェント/プロンプト)を反映するシステム軸、(2)攻撃軸、(アイデンティティスプーフィング、ポリシーバイパス、クロスレイヤー構成、即時注入、サプライチェーンエスカレーション)敵のテクニックを反映する。
我々は、アーキテクチャ層と信頼侵害タイプによって組織されたオープンソースのAIエージェントランタイムOpenClawに対して、190の勧告を提出した系統分類を提示する。
論文 参考訳(メタデータ) (2026-03-29T04:51:27Z) - AgentSys: Secure and Dynamic LLM Agents Through Explicit Hierarchical Memory Management [47.49917373646469]
既存の防御は肥大した記憶を与えられたまま扱い、回復力を維持することに集中する。
我々は、明示的なメモリ管理を通じて間接的なインジェクションを防御するフレームワークであるAgentSysを紹介する。
論文 参考訳(メタデータ) (2026-02-07T06:28:51Z) - Building a Robust Risk-Based Access Control System to Combat Ransomware's Capability to Encrypt: A Machine Learning Approach [0.510691253204425]
ランサムウェアの中核機能、無許可の暗号化は、正当な使用を妨害することなく悪意のある暗号化活動を識別しブロックする制御を要求する。
我々は、機械学習推論と必須アクセス制御を結合して、Linux上の暗号化をリアルタイムに規制する確率論的、リスクベースのアクセス制御アーキテクチャを提案する。
論文 参考訳(メタデータ) (2026-01-23T14:48:35Z) - Language Server CLI Empowers Language Agents with Process Rewards [8.38905909723596]
本稿ではLanser-CLIについて紹介する。Lanser-CLIはCLIファーストのオーケストレーションレイヤで、Language Server Protocol(LSP)サーバをピン留めし仲介する。
私たちの立場では、言語サーバーは構造情報だけでなく、実行可能なプロセス報酬も提供します。
凍結スナップショット下で決定論を定式化し,プロセス報酬の単調性を確立した。
論文 参考訳(メタデータ) (2025-10-27T01:25:20Z) - Shrinking the Kernel Attack Surface Through Static and Dynamic Syscall Limitation [9.260981761468491]
Linux Seccompは、プログラム開発者とシステムメンテナがオペレーティングシステムを保護するために広く使われている。
Dockerコンテナはデフォルトでは50のsyscallしかブロックしない。
本稿では,静的解析と動的検証を組み合わせることで,システム依存型サイスコール解析手法であるsysverifyを提案する。
論文 参考訳(メタデータ) (2025-10-04T07:51:08Z) - DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。
この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。
本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
論文 参考訳(メタデータ) (2025-06-13T05:01:09Z) - MIP against Agent: Malicious Image Patches Hijacking Multimodal OS Agents [60.92962583528122]
オペレーティングシステム(OS)エージェントの最近の進歩により、視覚言語モデル(VLM)がユーザのコンピュータを直接制御できるようになった。
これらのOSエージェントに対する新たなアタックベクターを発見した:MIP(Malicious Image Patches)
MIPは、OSエージェントにキャプチャされたとき、特定のAPIを活用することで有害なアクションを誘導する画面領域を逆向きに乱した。
論文 参考訳(メタデータ) (2025-03-13T18:59:12Z) - Making 'syscall' a Privilege not a Right [4.674007120771649]
nexpoline は Memory Protection Keys (MPK) と Seccomp or Syscall User Dispatch (SUD) を組み合わせたセキュアなsyscallインターセプション機構である。
nexpolineはバイナリ書き換えを安全にインターセプトできるので、ptraceのようなセキュアなインターセプション技術よりも効率がよい。
特に、カーネルの変更なしに動作し、ルート権限を必要とせず、現在のLinuxシステムで実行可能である。
論文 参考訳(メタデータ) (2024-06-11T16:33:56Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。