Por que seu sandbox de microVM resolve muito bem um problema específico, mas não o problema de segurança de agentes

23 de junho de 2026

Resumo

MicroVMs e sandboxes de agentes foram confundidos indevidamente: uma microVM impõe uma fronteira entre guest e host que impede uma máquina hostil de escapar, mas um agente de código roda como você, com suas chaves SSH, tokens da cloud e credenciais já montados dentro da caixa. O risco não é a fuga, e sim o raio de impacto quando um agente confiável, de boa-fé, interpreta errado uma tarefa ou segue uma instrução injetada e exfiltra ou apaga o que consegue alcançar legitimamente.

O hypervisor opera em um nível de tudo ou nada, sobre imagens de disco e máquinas inteiras, enquanto a ameaça real de um agente vive em um nível por caminho, por host e por syscall que o hypervisor nunca monitora. Por isso, o controle certo medeia as operações que um processo tenta executar, em vez de virtualizar o hardware abaixo dele.

Aprofundamento CEVIU

Aprofundamento

MicroVMs são excelentes para isolar máquinas inteiras, mas não servem para controlar o que um agente faz dentro delas. Quando você coloca um agente de código em uma microVM, ele herda suas credenciais, chaves SSH e tokens de acesso, tudo que ele precisa para funcionar. O problema não é ele escapar da máquina virtual, mas sim usar esses privilégios legítimos para apagar um banco de dados, enviar segredos para um servidor externo ou modificar arquivos críticos por causa de uma instrução mal interpretada. O hipervisor não vê essas ações: ele só garante que o sistema operacional convidado não quebre a barreira com o host. Mas o agente já está dentro da casa, com as chaves da porta da frente.

A verdadeira proteção para agentes vem de controle de permissões granulares: quem pode ler qual arquivo, qual domínio pode ser acessado, quais syscalls são permitidas. Ferramentas como nono.sh atuam nesse nível, interceptando chamadas de sistema antes que o agente as execute. Isso não é virtualização. É filtragem de ações. Sem isso, você tem uma caixa forte, mas deixou todos os segredos dentro dela, e o agente, por mais bem-intencionado que seja, pode ser convencido a entregar tudo.

Por que isso importa

Empresas que adotam agentes de código para automação de desenvolvimento estão subestimando o risco de falhas não maliciosas. O dano mais comum não vem de um invasor, mas de um agente que confia demais em um prompt, executa um comando errado ou lê um arquivo sensível por acidente. Se o agente tem acesso total ao seu ambiente, ele pode destruir o que você mais valoriza, sem precisar burlar nenhuma camada de segurança. A solução não é mais virtualização, mas sim limitar o raio de ação de cada processo. Isso muda o jogo: em vez de confiar na isolação de máquina, você passa a confiar em políticas que dizem exatamente o que cada agente pode e não pode fazer, mesmo dentro da própria conta do usuário.

Linha do tempo

2026-06-23
Artigo destaca que microVMs não resolvem o risco de agentes com credenciais expostas, e propõe sandboxes baseados em capacidade como alternativa correta.

Perguntas frequentes

Por que colocar um agente em uma microVM não impede ele de exfiltrar credenciais?

Porque as credenciais são montadas dentro da microVM para que o agente funcione. O hipervisor não monitora arquivos acessados, conexões de rede ou chamadas de sistema. Ele só garante que o sistema convidado não escape para o host. Se o agente tem acesso ao arquivo ~/.aws/credentials e o envia para um servidor externo, ele não quebrou a isolação, ele apenas usou os privilégios que você deu a ele. A microVM não vê isso como ameaça.

Qual é a diferença entre um sandbox de microVM e um sandbox de capacidade?

Um sandbox de microVM isola uma máquina inteira, usando hipervisores para separar sistemas operacionais. Um sandbox de capacidade controla o que um processo pode fazer dentro do mesmo sistema operacional: quais arquivos abrir, quais domínios alcançar, quais variáveis de ambiente acessar. O primeiro protege contra fuga de máquina. O segundo protege contra uso indevido de permissões, e é o que realmente importa para agentes que rodam como você.

Agentes de código causam mais danos por erro ou por ataque malicioso?

A maioria dos grandes incidentes envolvendo agentes ocorre por erro, não por ataque. Um agente bem-intencionado pode interpretar mal uma instrução, seguir uma instrução injetada por prompt injection ou usar uma dependência comprometida que lê arquivos sensíveis. Esses casos são mais comuns que invasões externas, porque o agente já tem acesso legítimo e não precisa burlar nada, só precisa confundir-se.

O que é nono.sh e por que ele é relevante aqui?

nono.sh é uma ferramenta open-source que aplica controle de capacidade em nível de kernel para agentes de código. Ela bloqueia acesso a arquivos específicos, limita conexões de rede por domínio e impede que variáveis de ambiente sensíveis sejam lidas, tudo sem virtualizar o sistema. É a única forma de impor políticas de segurança que vão além da isolação de máquina, e é essencial quando o risco real não é fuga, mas abuso de permissões legítimas.

Fontes

decodebytes.substack.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 23 de junho de 2026
Editoria: CEVIU Segurança da Informação