← Усі статті

Безпека пісочниці для агентного ШІ: Docker, microVM і CVE-2026-31431

40% команд називають безпеку головним бар'єром масштабування agentic AI. Docker Sandboxes, seccomp і ізоляція автономного коду.

Безпека пісочниці для агентного ШІ: Docker, microVM і CVE-2026-31431
Зміст

Коротко

Безпека пісочниці — не «ще один контейнер», а політики та примусове виконання правил, щоб межі ізоляції витримували реальний тиск. Docker просуває Sandboxes для coding-агентів: microVM, керування політиками та посилення Engine після інцидентів з автономними командами.

Що сталося

У звіті Docker про agentic AI 40% респондентів називають безпеку головною перешкодою при масштабуванні агентів. Класична ізоляція процесів розробникам знайома; для агентів потрібен наступний шар — хто що може виконувати, до якої мережі підключатися, як обмежити шкоду при помилці моделі.

У матеріалі розбирають кейс, де команда, згенерована ШІ, призвела до серйозної втрати даних. Аргумент не в тому, що «ШІ дурний», а в тому, що автономність і швидкість вищі, ніж у типової людської опечатки в терміналі.

Docker Engine закриває CVE-2026-31431 посиленням seccomp, AppArmor і SELinux. Docker Sandboxes для AI coding agents спираються на microVM — сильніше, ніж одні лише namespace контейнера.

Docker AI Governance дає централізований контроль агентів і прав на мережу та файлову систему — актуально, коли десятки розробників підключають Cursor або Claude Code до спільної інфраструктури.

Чому це важливо

Агенти змінюють модель загроз. Раніше ризик — «розробник випадково видалив prod»; тепер — автономний цикл «прочитав репозиторій → запропонував shell → виконав». Без пісочниці з явними лімітами один промпт або один MCP-інструмент може зачепити секрети на хосту чи корпоративну мережу.

Для платформених команд ізоляція — продуктова обов'язковість, а не галочка «на потім». Ті самі принципи працюють і поза Docker: gVisor, Firecracker, окремі CI-раннери — але важлива єдина політика.

На практиці

  1. Запускайте сесії агентів в одноразовій пісочниці без prod kubeconfig і SSH-ключів хоста.
  2. Мережа за замовчуванням — заборона; дозволяйте лише потрібні API; логуйте вихідні з'єднання.
  3. Секрети — scoped token, не root cloud admin.
  4. Оновлюйте Engine під CVE; увімкніть профілі seccomp/AppArmor, якщо політика компанії дозволяє.
  5. Проведіть tabletop: «агент виконав rm -rf на змонтованому volume» — що ламається?
  6. При великій кількості агентів — панель політик або policy-as-code.

Підсумок

Масштабування agentic AI упирається в довіру до виконання коду. Docker формулює відповідь як безпека пісочниці + керування + microVM. Недовірений код агента не має працювати на «голому» ядрі ноутбука. Деталі — у пості Docker Blog.