Runtime de seguridad ligero para agentes autónomos

Es un runtime para usar de forma segura agentes autónomos como OpenClaw.

Los agentes autónomos tienen un rango de acción más amplio que los agentes tradicionales, por lo que pueden ser mucho más útiles; pero al mismo tiempo requieren permisos muy potentes, así que usarlos sin medidas de seguridad generaba preocupación por llamadas incorrectas a APIs o privilegios excesivos como rm -rf. De hecho, ya se han encontrado incidentes de seguridad graves, como la eliminación errónea de archivos reales en OpenClaw o la ejecución de código malicioso en Clawhub.

Yo quería usar OpenClaw a través de una instancia de AWS, pero en el caso de contramedidas de seguridad existentes como NVDIA NemoClaw, había dependencia de hardware y en la práctica era necesario administrar infraestructura como Kubernetes. Por otro lado, hacerlo funcionar simplemente en Docker tampoco era ideal, porque al estar diseñado originalmente como un contenedor simple, resultaba difícil diseñar políticas o controlar permisos.

Por eso terminé creando una capa de seguridad ligera sin infraestructura adicional, compuesta por dos binarios en Rust. No tiene dependencias adicionales y también funciona en otros entornos, aunque se recomienda Linux porque aprovecha funciones del kernel.

Los componentes técnicos de este proyecto son los siguientes:

1. Un proxy que clasifica todo el tráfico saliente HTTP/HTTPS según la política, en categorías como allow/deny/delay
2. seccomp-bpf y aislamiento con namespaces para evitar que el agente eluda el proxy
3. Prevención del abuso de permisos de syscall por parte del agente y prohibición del trabajo directo sobre archivos locales mediante un sistema overlayfs
4. Prevención de filtraciones mediante secret injection, para que el agente no pueda conocer las claves API

Los detalles más técnicos de la implementación están documentados en GitHub, separados por cada parte. Ya se completaron pruebas básicas de estrés, como estabilidad de memoria y prevención de estados huérfanos al finalizar, y también pasó pruebas en ejecuciones de más de 60 minutos (ejecutando OpenClaw y Hermes agent en una instancia de AWS). La latencia medida también fue mínima en comparación con la ejecución real del agente.

Creo que puede ser útil para quienes, como yo, usan agentes en producción sobre servidores Linux o necesitan depurar o controlar el tráfico de un agent. Como es una herramienta basada en CLI, la UI puede resultar incómoda, pero también se puede revisar de forma simple mediante una página HTML estática. ¡Se agradecen reportes de bugs, feedback y cualquier otra pregunta!