NanoClaw tích hợp JFrog để tăng cường bảo mật cho các tác nhân AI

NanoClaw, một khung bảo mật cho tác nhân AI (AI agents), đã bắt tay hợp tác với nền tảng chuỗi cung ứng phần mềm JFrog. Sự hợp tác này cho phép các tác nhân AI lấy tài nguyên từ các kho đăng ký đã được JFrog xem xét và kiểm duyệt.

Gavriel Cohen, người sáng tạo NanoClaw và đồng sáng lập NanoCo AI, đã công bố mối quan hệ đối tác này vào tối thứ Năm tại một sự kiện của JFrog ở San Francisco.

Rủi ro khi tự cải thiện

Cohen giải thích rằng một trong những tính năng của các tác nhân Claw — bao gồm OpenClaw và các biến thể như NanoClaw — là khả năng tự cải thiện bằng cách tìm kiếm (fetch) các công cụ và tài nguyên mà chúng chưa sở hữu.

Điều này hoạt động tốt khi có quy trình phê duyệt thủ công để truy cập dữ liệu nội bộ đã biết. Tuy nhiên, nó lại không lý tưởng đối với các gói npm, ngay cả khi tác nhân đó được đặt trong môi trường sandbox (cô lập) như trong NanoClaw. Mã độc trong một container vẫn có thể thực hiện các hành động gây hại, ngay cả khi phạm vi hoạt động tiềm năng bị hạn chế.

Các nhà phát triển, theo Cohen, có thể không quen thuộc với một gói phần mềm cụ thể và việc đánh giá kỹ lưỡng xem gói đó có hợp pháp và không bị xâm phạm hay không có thể tốn nhiều thời gian.

"Vì vậy, chúng tôi đã hợp tác với JFrog và tích hợp NanoClaw với các kho đăng ký của JFrog," Cohen nói.

Sắp xếp này cung cấp một cách để giảm thiểu sự tiếp xúc của tác nhân với nội dung không đáng tin cậy. Khi tác nhân tải xuống các công cụ và thư viện mới, phần mềm sẽ đến từ một nguồn đã được kiểm duyệt.

Nhà máy tác nhân (Agent Factory)

Cohen cũng công bố sự ra mắt của cái mà ông gọi là "agent factory" (nhà máy tác nhân), hệ thống nội bộ của công ty được sử dụng để xử lý các pull requests (PR) bằng cách sử dụng các tác nhân NanoClaw.

Agent factory là một nỗ lực nhằm phân loại (triage) các pull request, vốn đã tăng vọt nhờ vào các tác nhân viết mã AI.

"Bây giờ rất dễ dàng để chỉ một tác nhân viết mã vào một kho (repo) và nói, 'mở một pull request cho repo này'," ông giải thích. "Và rất khó đối với người bảo trì để phân biệt sự khác biệt giữa một đóng góp chất lượng cao từ người thực sự sử dụng dự án mã nguồn mở so với ai đó chỉ đang cố gắng xây dựng danh tiếng [bằng các phương pháp tự động]. Vì vậy, để giúp chúng tôi giải quyết vấn đề này, chúng tôi đã xây dựng một agent factory giúp chúng tôi xem xét mọi đóng góp cho NanoClaw."

Trong tài liệu, Cohen giải thích rằng khi một PR được mở, nhà máy sẽ khởi chạy một tác nhân worker chuyên dụng cho nó, đăng một luồng thảo luận lên Slack, và worker sẽ phân loại thay đổi, xem xét diff và đề xuất kế hoạch kiểm thử.

Không có gì quan trọng xảy ra tự động: các thao tác như merge, chạy kiểm thử và các hành động GitHub có thông tin xác thực đều xuất hiện dưới dạng thẻ phê duyệt trong luồng thảo luận, và chỉ chạy khi con người nhấp vào phê duyệt.

Hướng dẫn không phải là cơ chế an toàn

Cohen thừa nhận rằng một số nhà phát triển sẽ cho rằng việc xử lý các PR chưa được vệ sinh có thể chứa prompt injection hoặc mã không an toàn là điều điên rồ.

Ông đã hỏi khán giả về cụm từ thường thấy trong các tệp cấu hình như Claude.md: "Không bao giờ, bao giờ, bao giờ làm điều này."

"Nếu bạn thấy điều gì đó như thế này trong tệp Claude.md và hướng dẫn của tác nhân nói, 'Quan trọng: Không bao giờ chạy drop database production,' nó cho bạn biết hai điều. Bạn biết rằng tác nhân đó đã xóa một cơ sở dữ liệu sản xuất trước đây. Và bạn biết rằng nó thực sự vẫn có thể làm lại điều đó. Đó là lý do hướng dẫn ở đó," Cohen nói, gây ra tiếng cười từ khán giả.

Cohen tiếp tục nói rằng tác nhân sẽ làm lại điều đó vì hướng dẫn không phải là cách thực thi bảo mật hoặc an toàn.

"Hướng dẫn giúp định hướng tác nhân AI hướng tới đầu ra có giá trị, nhưng nó không phải là cơ chế an toàn," ông nói. "Cách duy nhất để ngăn chặn đáng tin cậy một tác nhân thực hiện hành động không mong muốn là không cho phép nó thực hiện hành động đó, không trao cho nó khả năng thực hiện hành động đó."

Đó chính là mục đích của NanoClaw.