ผู้เขียน Transformer ลงมือ! สร้าง AI Agent ปลอดภัย IronClaw ใหม่จากศูนย์ 4 ชั้นป้องกันปิดช่องโหว่ OpenClaw

ผู้เขียน Transformer สร้าง AI Agent แบบปลอดภัย IronClaw ใหม่ ใช้ 4 ชั้นป้องกันรับมือช่องโหว่ OpenClaw

AI Agent นำมาซึ่งความสะดวกสบาย แต่ก็ก่อให้เกิดความกังวลด้านความปลอดภัยอย่างรุนแรง: รหัสผ่านและคีย์ API ของผู้ใช้อาจตกอยู่ในความเสี่ยง

เพื่อแก้ไขปัญหานี้ Illia Polosukhin หนึ่งในผู้เขียนบทความ Transformer ได้ลงมือสร้างเฟรมเวิร์ก AI Agent แบบปลอดภัย IronClaw ขึ้นใหม่ตั้งแต่ต้น โดยมีเป้าหมายเพื่อแก้ไขปัญหาด้านความปลอดภัยของเครื่องมือประเภทเดียวกัน เช่น OpenClaw จากรากฐาน

| คุณสมบัติ | OpenClaw | IronClaw |
| :— | :— | :— |
| ภาษาหลัก | TypeScript | Rust |
| การจัดการข้อมูลรับรอง | เปิดเผยโดยตรงให้กับ AI Agent | จัดเก็บแบบเข้ารหัส LLM ไม่สามารถเข้าถึงได้ |
| การเรียกใช้เครื่องมือ | ทำงานในสภาพแวดล้อมหลัก | ทำงานในแซนด์บ็อกซ์ WASM ที่แยกออก |
| สภาพแวดล้อมการติดตั้ง | เซิร์ฟเวอร์มาตรฐาน | สภาพแวดล้อมการดำเนินการที่น่าเชื่อถือ (TEE) |
| ความเป็นส่วนตัวของข้อมูล | มีความเสี่ยงรั่วไหล | เข้ารหัสในเครื่อง ไม่มีข้อมูลเทเลเมทรี |

โปรเจกต์ IronClaw ได้เปิดตัวบน GitHub แล้ว โดยมีแพ็คเกจติดตั้งสำหรับ macOS, Linux และ Windows รองรับการติดตั้งแบบโฮสต์ในเครื่องและบนคลาวด์ ขณะนี้โปรเจกต์อยู่ในขั้นตอนการพัฒนาอย่างรวดเร็ว โดยไฟล์ไบนารีเวอร์ชัน v0.15.0 พร้อมให้ดาวน์โหลดแล้ว

Polosukhin ยังได้เปิดกระทู้ถาม-ตอบบนฟอรัม Reddit เพื่อตอบสนองต่อข้อกังวลของชุมชน ซึ่งได้รับความสนใจอย่างสูง

ความนิยมและวิกฤตความปลอดภัยของ OpenClaw

Polosukhin เองเคยเป็นผู้ใช้ OpenClaw ในช่วงแรก และชื่นชมว่าเป็นตัวแทนของการเปลี่ยนแปลงทางเทคโนโลยีที่รอคอยมานาน อย่างไรก็ตาม สถานการณ์ความปลอดภัยของ OpenClaw นั้นเรียกได้ว่าเป็นหายนะ: ช่องโหว่ต่าง ๆ เช่น การดำเนินการโค้ดระยะไกล การโจมตีด้วยการฉีดพรอมต์ต์ การขโมยรหัสผ่านโดยสกิลที่เป็นอันตราย ถูกเปิดเผยออกมาตามลำดับ

ผู้เชี่ยวชาญด้านความปลอดภัยชี้ให้เห็นว่า มีอินสแตนซ์สาธารณะมากกว่า 25,000 แห่งบนอินเทอร์เน็ตที่ขาดการควบคุมความปลอดภัยที่เพียงพอ และเปรียบเทียบสถานการณ์นี้ว่าเป็น “ไฟขยะความปลอดภัย”

รากเหง้าของปัญหาอยู่ที่การออกแบบสถาปัตยกรรม เมื่อผู้ใช้มอบข้อมูลรับรอง เช่น Bearer Token ของอีเมล ให้กับ OpenClaw ข้อมูลเหล่านี้จะถูกส่งตรงไปยังเซิร์ฟเวอร์ของผู้ให้บริการโมเดลภาษาขนาดใหญ่ Polosukhin ชี้ให้เห็นว่า นี่หมายความว่าข้อมูลทั้งหมดของผู้ใช้ แม้แต่ข้อมูลที่ไม่ได้อนุญาตอย่างชัดเจน อาจถูกเข้าถึงโดยพนักงานของบริษัทที่เกี่ยวข้อง ทำให้ความเป็นส่วนตัวของผู้ใช้ไม่ได้รับการคุ้มครอง

การสร้างใหม่ด้วย Rust และการป้องกันเชิงลึก 4 ชั้น

IronClaw เป็นการเขียน OpenClaw ใหม่ทั้งหมดโดยใช้ภาษา Rust คุณสมบัติด้านความปลอดภัยของหน่วยความจำของ Rust สามารถกำจัดช่องโหว่ดั้งเดิม เช่น การล้นบัฟเฟอร์ ได้จากรากฐาน ซึ่งมีความสำคัญอย่างยิ่งสำหรับระบบที่จัดการกับข้อมูลรับรองที่ละเอียดอ่อน

ในด้านสถาปัตยกรรมความปลอดภัย IronClaw ได้สร้างระบบป้องกันเชิงลึก 4 ชั้น:

1. ความปลอดภัยของหน่วยความจำ: ได้รับการรับรองพื้นฐานจากภาษา Rust เอง
2. การแยกแซนด์บ็อกซ์ WASM: เครื่องมือของบุคคลที่สามและโค้ดที่สร้างโดย AI ทั้งหมดทำงานในคอนเทนเนอร์ WebAssembly ที่แยกออกจากกัน โดยขอบเขตผลกระทบของโค้ดที่เป็นอันตรายถูกจำกัดอย่างเคร่งครัด
3. ตู้นิรภัยข้อมูลรับรองแบบเข้ารหัส: คีย์ API และรหัสผ่านทั้งหมดถูกจัดเก็บโดยใช้การเข้ารหัส AES-256-GCM โดยข้อมูลรับรองแต่ละรายการจะผูกกับกฎนโยบาย ซึ่งจำกัดให้ใช้ได้เฉพาะกับโดเมนที่กำหนดเท่านั้น
4. สภาพแวดล้อมการดำเนินการที่น่าเชื่อถือ (TEE): ใช้ประโยชน์จากการแยกระดับฮาร์ดแวร์เพื่อปกป้องข้อมูล แม้แต่ผู้ให้บริการคลาวด์ก็ไม่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

หัวใจของการออกแบบนี้คือ: โมเดลใหญ่เองจะไม่สามารถเข้าถึงข้อมูลรับรองดั้งเดิมได้เลย ข้อมูลรับรองจะถูกฉีดเข้าไปอย่างปลอดภัยที่ขอบเขตเครือข่ายก็ต่อเมื่อ Agent จำเป็นต้องสื่อสารกับบริการภายนอกเท่านั้น Polosukhin ยกตัวอย่างว่า แม้ว่าโมเดลจะถูกโจมตีด้วยการฉีดพรอมต์ต์และพยายามขโมยโทเค็น OAuth ของผู้ใช้ ชั้นจัดเก็บข้อมูลรับรองจะปฏิเสธคำขอนั้นโดยตรงและบันทึกการแจ้งเตือน

เพื่อตอบสนองต่อความกังวลของชุมชนที่ว่า IronClaw อาจเดินตามรอย OpenClaw หากได้รับความนิยม Polosukhin ตอบว่าสถาปัตยกรรมของมันได้ปิดช่องโหว่หลักจากรากฐานแล้ว ข้อมูลรับรองถูกเข้ารหัสตลอดกระบวนการและไม่สัมผัสกับ LLM สกิลของบุคคลที่สามสามารถทำงานได้เฉพาะภายในคอนเทนเนอร์เท่านั้น แม้จะเข้าถึงผ่าน CLI ก็ต้องใช้คีย์เชนของระบบผู้ใช้เพื่อถอดรหัส โดยคีย์เข้ารหัสที่แยกออกมาเพียงอย่างเดียวจะไร้ประโยชน์ ทีมงานยังวางแผนที่จะทำการทดสอบทีมสีแดงและการตรวจสอบความปลอดภัยโดยผู้เชี่ยวชาญหลังจากที่เวอร์ชันหลักมีความเสถียร

รับมือกับการฉีดพรอมต์ต์และกลยุทธ์การติดตั้ง

สำหรับปัญหาท้าทายของอุตสาหกรรม นั่นคือการโจมตีด้วยการฉีดพรอมต์ต์ IronClaw ในปัจจุบันใช้กฎแบบฮิวริสติกเพื่อตรวจจับรูปแบบ และวางแผนที่จะติดตั้งตัวแยกประเภทภาษาขนาดเล็กที่อัปเดตได้อย่างยั่งยืนเพื่อระบุรูปแบบการฉีดในอนาคต Polosukhin ยอมรับว่าการฉีดพรอมต์ต์อาจจะแก้ไขโค้ดเบสโดยตรงหรือส่งข้อความที่เป็นอันตรายได้ การรับมือกับสิ่งนี้จำเป็นต้องมีระบบนโยบายที่ชาญฉลาดยิ่งขึ้น ซึ่งสามารถตรวจสอบความตั้งใจของ Agent ได้โดยไม่ต้องดูเนื้อหาอินพุต โดยในด้านนี้ “ยังต้องทำงานอีกมาก และยินดีต้อนรับการมีส่วนร่วมจากชุมชน”

เกี่ยวกับวิธีการติดตั้ง Polosukhin คิดว่าโซลูชันแบบท้องถิ่นล้วนมีข้อจำกัด เช่น Agent หยุดทำงานเมื่ออุปกรณ์ปิด ใช้พลังงานสูงบนอุปกรณ์เคลื่อนที่ และทำงานงานที่ซับซ้อนและยาวนานได้ยาก เขาคิดว่า “คลาวด์ลับ” เป็นทางเลือกประนีประนอมที่ดีที่สุดในปัจจุบัน ซึ่งสามารถให้การรับประกันความเป็นส่วนตัวที่ใกล้เคียงกับท้องถิ่น ในขณะที่ตอบสนองความต้องการ “ออนไลน์ตลอดเวลา” ผู้ใช้ยังสามารถตั้งค่านโยบายแบบไดนามิกได้ เช่น เพิ่มเกราะความปลอดภัยเพิ่มเติมโดยอัตโนมัติเมื่อเดินทางข้ามประเทศ

วิสัยทัศน์ที่ใหญ่กว่า: AI ที่เป็นของตนเองของผู้ใช้

Polosukhin ไม่ใช่ผู้พัฒนาออปเพนซอร์สธรรมดา ในปี 2017 เขาเป็นหนึ่งในแปดผู้เขียนร่วมที่เผยแพร่บทความบุกเบิก “Attention Is All You Need” ซึ่งสถาปัตยกรรม Transformer ที่นำเสนอได้วางรากฐานให้กับโมเดลภาษาขนาดใหญ่ในปัจจุบัน หมายเหตุท้ายบทความระบุว่า “ทุกคนมีส่วนร่วมเท่าเทียมกัน การจัดอันดับเป็นแบบสุ่ม”

ในปีเดียวกัน เขาออกจาก Google และก่อตั้ง NEAR Protocol โดยมุ่งมั่นที่จะผสานเทคโนโลยี AI และบล็อกเชน IronClaw เป็นส่วนหนึ่งของวิสัยทัศน์เชิงกลยุทธ์ที่ใหญ่กว่าของเขา นั่นคือ “AI ที่เป็นของตนเองของผู้ใช้” ในวิสัยทัศน์นี้ ผู้ใช้ควบคุมข้อมูลและสินทรัพย์ของตนเองอย่างสมบูรณ์ โดยมี AI Agent ดำเนินงานแทนในสภาพแวดล้อมที่น่าเชื่อถือ

NEAR ได้สร้างโครงสร้างพื้นฐานสำหรับวิสัยทัศน์นี้แล้ว เช่น แพลตฟอร์มคลาวด์ AI และตลาด GPU แบบกระจายศูนย์ โดย IronClaw เป็นชั้นรันไทม์ของระบบนี้ Polosukhin ยังได้พัฒนาตลาดสำหรับ Agent ว่าจ้างกันเอง โดย Agent ที่มีความเชี่ยวชาญสามารถลงทะเบียนออนไลน์และสะสมชื่อเสียงเพื่อรับงานที่มีมูลค่าสูงขึ้น

เมื่อถูกถามว่าคนทั่วไปจะปรับตัวเข้ากับยุค AI ได้อย่างไร คำแนะนำของ Polosukhin คือ ควรนำวิธีการทำงานของ AI Agent มาใช้โดยเร็วที่สุด และเรียนรู้ที่จะมอบขั้นตอนการทำงานทั้งหมดให้กับมันเพื่อประมวลผลโดยอัตโนมัติ ตั้งแต่ปี 2017 เขาได้ทำนายไว้ว่า “ในอนาคต คุณแค่ต้องคุยกับคอมพิวเตอร์ ไม่จำเป็นต้องเขียนโค้ดอีกต่อไป” และตอนนี้ สิ่งนี้กำลังกลายเป็นจริง

“AI Agent เป็นอินเทอร์เฟซขั้นสูงสุดสำหรับการปฏิสัมพันธ์ระหว่างมนุษย์กับทุกสิ่งออนไลน์” Polosukhin สรุป “แต่ขอให้เราทำให้มันปลอดภัย”

ที่อยู่โปรเจกต์:
https://github.com/nearai/ironclaw

ลิงก์อ้างอิง:
[1] https://www.reddit.com/r/MachineLearning/comments/1rlnwsk/d_ama_secure_version_of_openclaw/

⚠️ หมายเหตุ: เนื้อหาได้รับการแปลโดย AI และตรวจสอบโดยมนุษย์ หากมีข้อผิดพลาดโปรดแจ้ง