🟢 🛡️ Sigurnost Objavljeno: · 4 min čitanja ·

LangChain objavio vodič za odabir sandboxa za AI agente — smrtonosni trijumvirat i microVM izolacija

Editorial ilustracija: odabir sandboxing okruženja za AI agente s microVM izolacijom i sigurnosnim kontrolama

LangChain je definirao teorijski i praktični okvir za sigurnu izolaciju AI agenata u produkcijskim sustavima. Ključni pojam je smrtonosni trijumvirat: istovremeni pristup osjetljivim podacima, izloženost nepouzdanom sadržaju i mogućnost vanjske komunikacije. Rješenje: microVM arhitektura s autorizacijskim proxyjem koji tajne ključeve nikad ne pohranjuje unutar sandboxa.

🤖

Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.

Kako AI agenti postaju sve moćniji i dublje integrirani u produkcijske sustave, pitanje njihove sigurne izolacije postaje kritično. LangChain je 12. lipnja 2026. objavio detaljni vodič koji definira ključne principe odabira pravog sandboxa za agentske sustave — od teorijskog okvira do konkretnih arhitekturnih odluka.

Smrtonosni trijumvirat koji stvara ranjivost

Sigurnosni stručnjak Simon Willison definirao je tzv. smrtonosni trijumvirat (lethal trifecta): istovremena kombinacija pristupa osjetljivim podacima, izloženosti nepouzdanom sadržaju i mogućnosti vanjske komunikacije. Kada su sve tri komponente prisutne, napadač može iskoristiti prompt injection napad za krađu podataka.

Problem je što većina produkcijskih agentskih sustava upravo takvu kombinaciju koristi. Agent koji čita e-mailove (osjetljivi podaci), procesira poveznice iz tih e-mailova (nepouzdani sadržaj) i može slati odgovore (vanjska komunikacija) savršen je primjer trijumvirata u praksi.

Meta je predložila “Pravilo dvaju” (Rule of Two) kao ublažavajuću mjeru — agent ne bi smio nikada autonomno djelovati kada su prisutne sve tri komponente. No u praksi je to teško provesti: arhitekti sustava ne mogu uvijek predvidjeti koje kombinacije nastaju u produkciji. Zato je strukturna izolacija, a ne samo politika, neophodna.

Zašto je izolacija agenata postala neophodna?

Prompt injection nije hipotetička prijetnja. Radi se o scenariju gdje zlonamjerni sadržaj unutar podataka koje agent obrađuje — web stranica, dokument, e-mail — sadrži upute koje agent interpretira kao legitimne naloge. Bez sandboxa, uspješan napad može rezultirati eksfiltracijom podataka, neovlaštenim API pozivima ili trajnim promjenama u sustavu.

Sandbox ne eliminira trijumvirat, ali svaki kompromis ograničava na izoliranu okolinu. Napadač može „preoteti” agenta unutar sandboxa, ali ne može dosegnuti ostatak infrastrukture. Radijus štete je strukturno ograničen — i to je temeljna razlika između sigurnog i nesigurnog dizajna.

Pet dimenzija efektivne izolacije

LangChain definira pet ključnih karakteristika koje svaki sandbox treba zadovoljiti:

Izolacija datotečnog sustava — sandbox sadržava samo podatke neophodne za trenutni zadatak. Agent ne može pristupiti datotekama izvan svog opsega, neovisno o tome kakve upute primi.

Ograničen mrežni pristup — dopuštene su samo specifične odredišne adrese (allowlist). Čak i u slučaju uspješnog prompt injection napada, agent ne može poslati podatke na neodobrenu adresu.

Limiti resursa — kontrola nad CPU ciklusima, potrošnjom memorije i trajanjem izvođenja sprječava denial-of-service napade i neograničenu potrošnju API kredita.

Kontrolirana višekratnost — svjesna odluka o tome persitira li stanje između pokretanja ili se sandbox resetira za svaki zadatak.

Izolacija na razini kernela — microVM virtualizacija sprječava agenta da iskoristi ranjivosti operacijskog sustava za bijeg iz sandboxa.

Arhitektura LangSmith Sandboxes rješenja

LangSmith Sandboxes implementira sve navedene principe kroz arhitekturu temeljenu na dedikiranim microVMs: svaki sandbox dobiva vlastitu virtualnu mašinu s neovisnim datotečnim sustavom i izoliranim kernelom, fizički odvojenu od ostatka infrastrukture i od ostalih sandboxa koji rade paralelno.

Najvažnija arhitekturna inovacija je autorizacijski proxy: tajni ključevi — API ključevi, tokeni, vjerodajnice — nikada se ne pohranjuju unutar sandboxa. Umjesto toga, proxy presreće odlazni promet i tek nakon što napusti sandbox ubacuje vjerodajnice u zahtjev. Čak i ako agent bude kompromitiran, napadač nema pristup tajnim ključevima jer oni doslovno ne postoje unutar kompromitiranog okruženja.

Ovaj dizajn znači da prompt injection napad, ako uspije, može samo manipulirati agentom da šalje zahtjeve prema dopuštenim endpointima s ograničenim podacima dostupnim unutar sandboxa.

Integracija u širi ekosustav

LangChain naglašava da sandbox treba biti integriran u širu platformu za inženjerstvo agenata — ne izolirani sigurnosni dodatak. Bez alata za testiranje, praćenje i deployment, sigurna izolacija postaje administrativni teret koji timovi zaobilaze i time poništavaju njenu vrijednost.

Pravi odabir sandboxa ovisi o specifičnoj kombinaciji triju faktora: koliko su osjetljivi podaci kojima agent pristupa, koliko je nepouzdan sadržaj koji procesira i koliko su kritični vanjski sustavi s kojima komunicira. Za sustave koji kombiniraju sva tri u visokim stupnjevima — mikroVM izolacija s autorizacijskim proxyjem nije opcija, nego preduvjet.

Česta pitanja

Što je smrtonosni trijumvirat u kontekstu AI agenata?
Smrtonosni trijumvirat je istovremena kombinacija tri uvjeta: pristup osjetljivim podacima, izloženost nepouzdanom sadržaju i mogućnost vanjske komunikacije. Kada su svi uvjeti ispunjeni, prompt injection napad može rezultirati krađom podataka.
Kako LangSmith Sandboxes štiti tajne ključeve?
Autorizacijski proxy ubacuje vjerodajnice u odlazni promet tek nakon što napusti sandbox, tako da tajni ključevi nikad nisu pohranjeni unutar potencijalno kompromitiranog okruženja.
Eliminira li sandbox rizik od prompt injection napada?
Ne u potpunosti. Sandbox ne eliminira trijumvirat prijetnji, ali strukturno ograničava radijus štete — napadač koji kompromitira agenta unutar sandboxa ne može dosegnuti ostatak infrastrukture.

📬 AI vijesti u tvoj inbox

Dnevni digest po tvojoj mjeri — biraš teme, izvore i ritam. Odjava jednim klikom.