← Все статьи

Безопасность песочницы для агентного ИИ: Docker, microVM и CVE-2026-31431

40% команд называют безопасность главным барьером масштабирования agentic AI. Docker Sandboxes, seccomp и изоляция автономного кода.

Теги
ИИНовостиsecurity
Содержание

Коротко

Безопасность песочницы — не «ещё один контейнер», а политики и принудительное исполнение правил, чтобы границы изоляции выдерживали реальное давление. Docker продвигает Sandboxes для coding-агентов: microVM, управление политиками и усиление Engine после инцидентов с автономными командами.

Что произошло

В отчёте Docker про agentic AI 40% респондентов называют безопасность главным препятствием при масштабировании агентов. Классическая изоляция процессов разработчикам знакома; для агентов нужен следующий слой — кто что может выполнять, к какой сети подключаться, как ограничить ущерб при ошибке модели.

В материале разбирают кейс, где команда, сгенерированная ИИ, привела к серьёзной потере данных. Аргумент не в том, что «ИИ глупый», а в том, что автономность и скорость выше, чем у типичной человеческой опечатки в терминале.

Docker Engine закрывает уязвимость CVE-2026-31431 усилением seccomp, AppArmor и SELinux. Параллельно Docker Sandboxes для coding-агентов опираются на microVM — сильнее, чем одни только namespace контейнера, для недоверенного кода.

Docker AI Governance даёт централизованный контроль: какие агенты запускаются, с какими правами на сеть и файловую систему. Это актуально, когда десятки разработчиков подключают Cursor или Claude Code к общей инфраструктуре.

Почему это важно

Агенты меняют модель угроз. Раньше риск — «разработчик случайно удалил prod»; теперь — автономный цикл «прочитал репозиторий → предложил shell → выполнил». Без песочницы с явными лимитами один промпт или один MCP-инструмент может затронуть секреты на хосте, .env или корпоративную сеть.

Для платформенных команд изоляция — продуктовая обязанность, а не галочка «на потом». Те же принципы работают и вне Docker: gVisor, Firecracker, отдельные CI-раннеры — но важна единая политика, а не разовый флаг --read-only.

На практике

  1. Запускайте сессии агентов в одноразовой песочнице: отдельная ФС, без prod kubeconfig и SSH-ключей хоста.
  2. Сеть по умолчанию — запрет; разрешайте только нужные API; логируйте исходящие соединения.
  3. Секреты — scoped token, не root cloud admin.
  4. Обновляйте Engine под CVE и включайте профили seccomp/AppArmor, если политика компании позволяет.
  5. Проведите tabletop для команды: «агент выполнил rm -rf в смонтированном volume» — что ломается?
  6. При большом числе агентов — панель управления политиками или policy-as-code.

Итог

Масштабирование agentic AI упирается в доверие к исполнению кода. Docker формулирует ответ как безопасность песочницы + управление + microVM. Даже без их стека правило одно: недоверенный код агента не должен работать на «голом» ядре ноутбука. Подробности — в посте Docker Blog.