รันไทม์ความปลอดภัยแบบน้ำหนักเบาสำหรับเอเจนต์อัตโนมัติ

นี่คือรันไทม์สำหรับใช้งานเอเจนต์อัตโนมัติอย่าง OpenClaw ได้อย่างปลอดภัย

เอเจนต์อัตโนมัติมีขอบเขตการกระทำที่กว้างกว่าเอเจนต์แบบเดิม จึงใช้งานได้มีประโยชน์มากกว่า แต่ในขณะเดียวกันก็ต้องการสิทธิ์ที่ทรงพลังมาก ทำให้การใช้งานโดยไม่มีมาตรการป้องกันใด ๆ ชวนกังวล ทั้งในแง่การเรียก API ผิดพลาดหรือการใช้สิทธิ์เกินขอบเขตอย่าง rm-rf และในความเป็นจริงก็มีการพบกรณีอุบัติเหตุด้านความปลอดภัยร้ายแรง เช่น OpenClaw ลบไฟล์จริงผิดพลาด หรือมีการรันโค้ดอันตรายใน Clawhub

ผมต้องการใช้งาน OpenClaw ผ่าน AWS instance แต่โซลูชันด้านความปลอดภัยที่มีอยู่เดิมอย่าง NVDIA NemoClaw มีข้อจำกัดเรื่องการผูกติดกับฮาร์ดแวร์ และแทบจะต้องดูแลอินฟราสตรักเจอร์อย่าง Kubernetes ไปด้วย ขณะเดียวกัน หากจะให้รันบน Docker แบบง่าย ๆ ก็ทำได้ยากในเรื่องการออกแบบนโยบายและการควบคุมสิทธิ์ เพราะเดิมทีถูกออกแบบมาเป็นเพียงคอนเทนเนอร์แบบเรียบง่าย

จึงได้สร้างเลเยอร์ความปลอดภัยแบบน้ำหนักเบาที่ไม่ต้องมีอินฟราสตรักเจอร์เพิ่มเติม โดยเป็นเลเยอร์ความปลอดภัยที่ประกอบด้วย Rust binary สองไฟล์ ไม่มี dependency เพิ่มเติม และแม้จะทำงานได้ในสภาพแวดล้อมอื่น แต่เนื่องจากใช้ความสามารถระดับเคอร์เนลของ Linux จึงแนะนำให้ใช้งานบน Linux

องค์ประกอบทางเทคนิคของโปรเจ็กต์นี้มีดังนี้

1. พร็อกซีที่จัดประเภททราฟฟิกขาออก HTTP/HTTPS ทั้งหมดตามนโยบายเป็น allow/deny/delay เป็นต้น
2. การใช้ seccomp-bpf และการแยก namespace เพื่อป้องกันไม่ให้เอเจนต์หลบเลี่ยงพร็อกซี
3. การป้องกันการใช้งานสิทธิ์ syscall ของเอเจนต์ในทางที่ผิด และห้ามเข้าถึงไฟล์โลคัลโดยตรงด้วยระบบ overlayfs
4. การใช้ secret injection เพื่อไม่ให้เอเจนต์รู้จัก API key และป้องกันการรั่วไหล

รายละเอียดเชิงเทคนิคเพิ่มเติมมีการจัดทำเอกสารแยกตามแต่ละส่วนไว้บน GitHub แล้ว การทดสอบความเครียดพื้นฐาน เช่น memory safety และการป้องกันสถานะ orphan เมื่อโปรเซสสิ้นสุด ได้เสร็จสิ้นแล้ว และผ่านการทดสอบในการรันเกิน 60 นาทีด้วย (รัน OpenClaw และ Hermes agent บน AWS instance) ส่วน latency ก็วัดได้ว่าอยู่ในระดับน้อยมากเมื่อเทียบกับการรัน agent จริง

คิดว่าน่าจะมีประโยชน์สำหรับผู้ที่ต้องการใช้งานเอเจนต์บนเซิร์ฟเวอร์ Linux ในโปรดักชันแบบเดียวกับผม หรือผู้ที่ต้องการดีบักและควบคุมทราฟฟิกของ agent แม้จะเป็นเครื่องมือแบบ CLI จึงอาจใช้งาน UI ไม่สะดวกนัก แต่ก็สามารถตรวจสอบแบบง่าย ๆ ผ่านหน้า HTML แบบ static ได้เช่นกัน ยินดีรับรายงานบั๊ก ฟีดแบ็ก และคำถามอื่น ๆ ครับ!