《Openclaw流行下Agent 沙箱架构：从技术选择到普通人能看懂的安全故事》 Два режима Представьте, что вы хотите нанять охранника, чтобы он следил за вашим домом. У вас есть два варианта: Вариант первый: охранник живет у вас дома, но инструменты заперты в сейфе. Охранник может передвигаться, видеть ваш дом, но не может получить ключи. Вариант второй: охранник живет в будке снаружи, в вашем доме нет ничего, что он мог бы взять. Если он хочет что-то взять, ему нужно обратиться к вашему управляющему. Компания Browser Use (они управляют миллионами веб-агентов) выбрала второй вариант. Их история на самом деле касается каждого, кто использует AI.

二、 Как использовать браузер Изначально они использовали вариант один: Agent работает на своем сервере, выполнение кода происходит в изолированном песочнице. Звучит довольно безопасно, правда? Но есть одна проблема: сам Agent все еще находится на сервере, он может видеть переменные окружения, API-ключи, учетные данные базы данных. А если Agent решит "похитить что-то"?

Три, поэтому они переписали всю архитектуру: • Агент полностью изолирован: каждый Агент работает в своем собственном Unikraft micro-VM, запуск занимает менее секунды • Контрольная плоскость как управляющий: все внешние коммуникации (вызов LLM, хранение файлов, выставление счетов) проходят через контрольную плоскость, которая хранит все учетные данные • Песочница ничего не знает: Агент получает только три переменные окружения — токен сессии, URL контрольной плоскости, ID сессии. Нет ключей AWS, нет учетных данных базы данных • Уничтожаемость: Агент умер? Перезапустите его. Состояние потеряно? Контрольная плоскость имеет полный контекст. У него нет ничего, что стоит украсть, и нет ничего, что нужно сохранять.

Четыре, Технические детали: производственный Unikraft micro-VM (масштабируемый до нуля, при простое приостанавливается), контейнеры Docker для разработки. Один и тот же образ везде. С точки зрения обычного человека: какое это имеет ко мне отношение? Вы, возможно, не знаете, что такое "micro-VM" или "предварительно подписанные URL", но когда вы используете AI, вы уже имеете дело с такой архитектурой.

Пять, Чувство безопасности: когда вы используете какой-либо AI-сервис для написания кода или поиска информации, ваши запросы на самом деле обрабатываются в изолированной виртуальной машине. Если архитектура спроектирована плохо (вариант 1), теоретически этот AI-агент может увидеть все секреты сервиса — пароли к базе данных, API-ключи, данные других пользователей.

Шесть, Стоимость и скорость: у второго варианта есть цена — каждый раз происходит дополнительный сетевой переход. Но по сравнению со временем отклика LLM, эта задержка почти незначительна. Более важно то, что когда Agent не занят, VM приостанавливается, и стоимость близка к нулю. Конфиденциальность данных: как хранятся ваши файлы? Песочница запрашивает у управляющего уровня presigned URL, а затем загружает его напрямую в S3. На протяжении всего процесса песочница не видела ключи AWS. Ваши данные не будут раскрыты Agent.

Семь, Мои размышления: локально vs в облаке Моя текущая настройка (OpenClaw + LM Studio + x-reader) является典型ным "одиночным вариантом": • Модель работает локально (Qwen3.5-35B на RTX 3090) • Агент не изолирован (поскольку он находится на вашем компьютере) • Данные полностью локальные Это в сравнении с решением Browser Use: Размерность Локальный одиночный агент (мы) Облачный изолированный агент (Browser Use) Конфиденциальность Данные не покидают локально Данные в облаке, но агент не получает ключи Безопасность Зависит от локальной защиты Агент полностью изолирован, нечего украсть Стоимость Одноразовые затраты на оборудование Оплата по мере использования (масштабирование до нуля) Масштабируемость Ограничена локальным оборудованием Неограниченное масштабирование, несколько агентов параллельно Задержка Нулевая сетевая задержка Еще один сетевой переход (но его можно игнорировать)

Восемь, Мой вывод: будущее будет смешанным. • Простые задачи выполняются локально: написать скрипт, найти информацию, организовать документы — это можно сделать локально, что обеспечивает хорошую конфиденциальность и быструю скорость. • Сложные задачи в облаке: когда требуется параллельная работа нескольких агентов, обработка больших объемов данных и длительное выполнение, в этом случае архитектура, подобная Browser Use, будет более подходящей.

Девять, Изначально ничего нет, откуда же пыль? Вашему агенту не должно быть ничего, что стоит украсть, и ничего, что нужно сохранять. Эта фраза в простых словах означает: • Не стоит красть: агент не знает никаких секретов. Ему нужны токены для настройки LLM? Они предоставляются контрольной плоскостью, использованы и выброшены. Ему нужно сохранить файл? presigned URL временный, по истечении срока действия становится недействительным. • Не нужно сохранять: агент мертв? Запустите новый. Он помнит контекст? В базе данных контрольной плоскости есть полная запись. На самом деле это применение архитектуры нулевого доверия в эпоху ИИ: не доверяйте никаким компонентам, даже если это ваш собственный написанный агент.

Десять. Как новичку в AI следует учиться? 1. Выбор инструментов AI: при использовании облачных AI-сервисов задайте себе вопрос — если этот агент выйдет из-под контроля, что он сможет получить? Хорошая архитектура должна сделать так, чтобы он "ничего не знал". 2. Осознание конфиденциальности: локальный AI выполняет простые задачи (OpenClaw, LM Studio), чувствительные данные не загружаются в облако. Сложные задачи выполняются с использованием облачных изолированных решений, но нужно понимать, что данные покинут локальное устройство. 3. Будущие рабочие процессы: сотрудничество одного человека с несколькими агентами — это тренд (как сказал Карпати: Tab→Agent→Parallel Agents→Agent Teams). Но каждый агент должен быть изолирован, не позволяйте ему "жить у вас дома".

Одиннадцать, Баланс между безопасностью и эффективностью Решение Browser Use не идеально — нужно развернуть три дополнительных сервиса, и каждый раз происходит дополнительный сетевой переход. Но по сравнению с риском, что "Агент украдет все ключи", эти затраты оправданы. Для нас, людей с локальной настройкой AI, вывод таков: • Простые сценарии: продолжайте использовать локальное решение (OpenClaw + LM Studio), хорошая конфиденциальность, низкие затраты • Сложные сценарии: в будущем может потребоваться подключение к облачному изолированному сервису Агентов, чтобы профессионалы занимались своим делом Безопасность AI — это не эзотерика, это архитектурное проектирование. Хороший дизайн делает так, что Агент "ничего не имеет" — нет секретов, которые можно украсть, нет состояния, на которое можно было бы сослаться.

Двенадцать, Вот как, вероятно, будет выглядеть инфраструктура AI в будущем: агенты будут одноразовыми, контрольная плоскость будет надежной, а пользовательские данные будут защищены. Что касается нас? Продолжим использовать OpenClaw для запуска локальных агентов, а когда придет время запускать десятки или сотни параллельно, тогда подумаем о подключении к архитектуре типа Browser Use. Завтра будет лучше