smolagents安全实践:代码执行沙盒与风险控制
项目地址: https://gitcode.com/gh_mirrors/smo/smolagents 本文详细介绍了smolagents框架中的多层次安全机制,包括本地Python执行器的安全限制、E2B沙盒环境、Docker容器化执行、WASM沙盒方案以及工具权限控制与输入输出验证策略。文章通过架构图、代码示例和对比表格,全面阐述了如何在不同安全需求场景下选择合适的执行环境,并提供了具体的安全配置建议和最佳实践。
本地Python执行器的安全限制机制
在smolagents框架中,本地Python执行器(LocalPythonExecutor)是实现代码代理安全执行的核心组件。它通过多层次的安全限制机制,确保LLM生成的代码能够在受控环境中安全运行,防止恶意代码对宿主系统造成损害。
安全架构设计
本地Python执行器采用基于AST(抽象语法树)的代码执行架构,而非直接使用Python的exec()或eval()函数。这种设计允许框架在代码执行前进行深度分析和安全检查。
核心安全限制机制
1. 模块导入控制
执行器采用白名单机制严格控制模块导入,默认禁止所有危险模块的导入:
# 危险模块黑名单
DANGEROUS_MODULES = [
"builtins", "io", "multiprocessing", "os", "pathlib",
"pty", "shutil", "socket", "subprocess", "sys"
]
# 基础安全模块白名单
BASE_BUILTIN_MODULES = [
"collections", "datetime", "itertools", "math", "queue",
"random", "re", "stat", "statistics", "time", "unicodedata"
]
导入授权机制支持精确控制:
- 精确模块名授权:
["numpy"]只允许导入numpy - 通配符授权:
["numpy.*"]允许numpy及其所有子模块 - 完全授权:
["*"]允许所有模块(不推荐)
2. 危险函数拦截
执行器拦截并禁止调用可能危及系统安全的函数:
DANGEROUS_FUNCTIONS = [
"builtins.compile", "builtins.eval", "builtins.exec",
"builtins.globals", "builtins.locals", "builtins.__import__",
"os.popen", "os.system", "posix.system"
]
安全检查函数check_safer_result()会在每次函数调用后验证返回值的类型,防止通过间接方式获取危险功能。
3. 操作次数限制
为防止无限循环和资源耗尽攻击,执行器设置了严格的操作限制:
MAX_OPERATIONS = 10000000 # 最大操作次数
MAX_WHILE_ITERATIONS = 1000000 # while循环最大迭代次数
DEFAULT_MAX_LEN_OUTPUT = 50000 # 输出最大长度限制
4. 工具保护机制
执行器防止代码覆盖或修改已注册的工具函数:
def test_assignment_cannot_overwrite_tool(self):
code = "print = '3'"
with pytest.raises(InterpreterError) as e:
evaluate_python_code(code, {"print": print}, state={})
assert "Cannot assign to name 'print': doing this would erase the existing tool!" in str(e)
5. 双下方法访问限制
默认禁止访问对象的双下方法(dunder methods),只允许少数必要的:
ALLOWED_DUNDER_METHODS = ["__init__", "__str__", "__repr__"]
def nodunder_getattr(obj, name, default=None):
if name.startswith("__") and name.endswith("__"):
raise InterpreterError(f"Forbidden access to dunder attribute: {name}")
return getattr(obj, name, default)
安全执行流程
本地Python执行器的安全执行流程包含多个验证层:
安全工具函数
框架提供了一系列安全装饰器和工具函数来增强安全性:
安全评估装饰器
def safer_eval(func: Callable):
"""增强评估函数安全性的装饰器"""
@wraps(func)
def _check_return(expression, state, static_tools, custom_tools, authorized_imports=BASE_BUILTIN_MODULES):
result = func(expression, state, static_tools, custom_tools, authorized_imports=authorized_imports)
check_safer_result(result, static_tools, authorized_imports)
return result
return _check_return
模块安全检查
def check_import_authorized(import_to_check: str, authorized_imports: list[str]) -> bool:
"""检查导入是否被授权"""
if "*" in authorized_imports:
return True
for authorized_import in authorized_imports:
if authorized_import.endswith(".*"):
base_module = authorized_import[:-2]
if import_to_check == base_module or import_to_check.startswith(base_module + "."):
return True
elif import_to_check == authorized_import:
return True
return False
实际安全测试案例
框架包含全面的安全测试,验证各种攻击场景的防护效果:
def test_dangerous_builtins_calls_are_blocked(self):
# 测试直接导入危险模块
unsafe_code = "import os"
with pytest.raises(InterpreterError):
evaluate_python_code(unsafe_code, static_tools=BASE_PYTHON_TOOLS)
# 测试间接调用危险函数
dangerous_code = """
exec = callable.__self__.exec
compile = callable.__self__.compile
exec(compile('import os', 'no filename', 'exec'))
"""
with pytest.raises(InterpreterError):
evaluate_python_code(dangerous_code, static_tools=BASE_PYTHON_TOOLS)
def test_can_import_os_if_explicitly_authorized(self):
# 测试显式授权后的安全导入
dangerous_code = "import os; os.listdir('./')"
evaluate_python_code(dangerous_code, authorized_imports=["os"])
安全最佳实践
在使用本地Python执行器时,建议遵循以下安全最佳实践:
- 最小权限原则:只授权必要的模块和功能
- 输入验证:对用户输入和LLM输出进行严格验证
- 资源限制:合理设置操作次数和输出长度限制
- 监控审计:记录所有代码执行操作以便审计
- 沙箱备用:对于高安全需求场景,使用E2B或Docker沙箱
安全限制配置示例
from smolagents import CodeAgent, LocalPythonExecutor
# 创建自定义执行器,只授权数学和数据处理相关模块
custom_executor = LocalPythonExecutor(
additional_authorized_imports=["math", "numpy", "pandas.*"],
max_print_outputs_length=10000
)
# 创建代理并使用安全执行器
agent = CodeAgent(
tools=[...],
model=...,
additional_authorized_imports=["math", "numpy"],
executor_type="local"
)
本地Python执行器的安全限制机制通过多层次防御策略,为代码代理提供了坚实的安全基础。然而,开发者仍需意识到没有任何本地执行环境能够提供绝对的安全保障,对于处理敏感数据或高风险任务,建议使用远程沙箱执行环境。
E2B沙盒环境:完全隔离的代码执行
在AI代理开发中,代码执行的安全性至关重要。smolagents通过E2B(Environment-to-Browser)沙盒技术提供了企业级的代码执行隔离方案,确保LLM生成的代码在完全隔离的环境中运行,彻底消除对本地系统的安全威胁。
E2B沙盒架构设计
E2B沙盒采用云端隔离架构,将代码执行环境与本地系统完全分离。其核心架构如下所示:
核心安全特性
E2B沙盒环境提供多层次的安全保护机制:
| 安全层 | 保护机制 | 防护能力 |
|---|---|---|
| 容器隔离 | Docker容器技术 | 进程级完全隔离 |
| 资源限制 | CPU/内存配额 | 防止资源耗尽攻击 |
| 网络隔离 | 受限网络访问 | 阻断恶意网络请求 |
| 文件系统 | 临时文件系统 | 防止持久化攻击 |
| 系统调用 | Seccomp过滤 | 限制危险系统调用 |
快速启用E2B沙盒
启用E2B沙盒执行非常简单,只需在CodeAgent初始化时指定executor_type参数:
from smolagents import CodeAgent, InferenceClientModel, WebSearchTool
# 使用E2B沙盒执行器
model = InferenceClientModel()
with CodeAgent(
tools=[WebSearchTool()],
model=model,
executor_type="e2b" # 关键参数
) as agent:
result = agent.run("计算第100个斐波那契数")
print(result)
底层实现机制
E2BExecutor的核心实现基于e2b_code_interpreter库,提供了完整的远程代码执行能力:
class E2BExecutor(RemotePythonExecutor):
def __init__(self, additional_imports: list[str], logger, **kwargs):
super().__init__(additional_imports, logger)
try:
from e2b_code_interpreter import Sandbox
except ModuleNotFoundError:
raise ModuleNotFoundError(
"请安装'e2b'扩展: `pip install 'smolagents[e2b]'`"
)
self.sandbox = Sandbox(**kwargs)
self.installed_packages = self.install_packages(additional_imports)
self.logger.log("E2B沙盒已启动", level=LogLevel.INFO)
执行流程详解
E2B沙盒的代码执行遵循严格的流程控制:
多格式输出支持
E2B沙盒不仅支持文本输出,还能处理多种数据格式:
| 输出类型 | 处理方式 | 应用场景 |
|---|---|---|
| 图像数据 | PIL.Image对象 | 图像处理任务 |
| JSON数据 | 原生字典对象 | API响应处理 |
| HTML内容 | 字符串格式 | 网页内容分析 |
| 图表数据 | 可视化输出 | 数据可视化 |
| Markdown | 格式化文本 | 文档生成 |
高级配置选项
E2BExecutor支持丰富的配置参数,满足不同安全需求:
# 高级E2B配置示例
e2b_config = {
"template_id": "qywp2ctmu2q7jzprcf4j", # 自定义沙盒模板
"timeout": 300, # 执行超时时间(秒)
"memory_limit": "1G", # 内存限制
"cpu_limit": 2, # CPU核心限制
}
agent = CodeAgent(
model=model,
tools=[WebSearchTool()],
executor_type="e2b",
executor_kwargs=e2b_config # 传递配置参数
)
资源清理机制
E2B沙盒提供完善的资源清理机制,确保不会留下任何安全隐患:
def cleanup(self):
"""清理E2B沙盒资源"""
try:
if hasattr(self, "sandbox"):
self.logger.log("正在关闭沙盒...", level=LogLevel.INFO)
self.sandbox.kill() # 彻底销毁沙盒实例
self.logger.log("沙盒清理完成", level=LogLevel.INFO)
del self.sandbox
except Exception as e:
self.logger.log_error(f"清理过程中发生错误: {e}")
性能与安全平衡
E2B沙盒在安全性和性能之间取得了良好平衡:
| 指标 | 本地执行 | E2B沙盒 | 优势说明 |
|---|---|---|---|
| 安全性 | ⭐⭐ | ⭐⭐⭐⭐⭐ | 完全隔离环境 |
| 执行速度 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | 网络传输开销 |
| 资源控制 | ⭐⭐ | ⭐⭐⭐⭐⭐ | 精确资源限制 |
| 兼容性 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | 支持大多数库 |
| 部署复杂度 | ⭐⭐⭐⭐⭐ | ⭐⭐ | 需要E2B账户 |
典型应用场景
E2B沙盒特别适用于以下高风险场景:
- 第三方代码执行:运行用户提交或不可信的代码
- 生产环境部署:确保生产系统的绝对安全
- 多租户环境:为不同用户提供隔离的执行环境
- 敏感数据处理:处理隐私数据时的额外保护层
- 资源密集型任务:需要严格资源控制的计算任务
通过E2B沙盒环境,smolagents为AI代理提供了企业级的代码执行安全保证,让开发者能够安心地在生产环境中部署代码生成代理,而无需担心安全风险。
Docker容器化执行与WASM沙盒方案
在AI智能体开发中,代码执行安全是至关重要的考虑因素。smolagents提供了两种先进的沙盒执行方案:Docker容器化执行和WebAssembly(WASM)沙盒执行,为开发者提供了不同层次的安全隔离选择。
Docker容器化执行方案
Docker容器化执行是smolagents中提供的高安全性代码执行方案,通过将代码运行在完全隔离的Docker容器中,确保主机系统的安全性。
架构设计
DockerExecutor基于Jupyter Kernel Gateway架构,采用客户端-服务器模式:
核心实现
DockerExecutor的核心实现位于src/smolagents/remote_executors.py:
class DockerExecutor(RemotePythonExecutor):
def __init__(
self,
additional_imports: list[str],
logger,
host: str = "127.0.0.1",
port: int = 8888,
image_name: str = "jupyter-kernel",
build_new_image: bool = True,
container_run_kwargs: dict[str, Any] | None = None,
dockerfile_content: str | None = None,
):
# 初始化Docker客户端和容器配置
self.client = docker.from_env()
self.dockerfile_content = dockerfile_content or dedent("""
FROM python:3.12-bullseye
RUN pip install jupyter_kernel_gateway jupyter_client
EXPOSE 8888
CMD ["jupyter", "kernelgateway", "--KernelGatewayApp.ip='0.0.0.0'",
"--KernelGatewayApp.port=8888", "--KernelGatewayApp.allow_origin='*'"]
""")
安全特性
Docker执行器提供了多重安全保护机制:
- 网络隔离:容器运行在独立的网络命名空间中
- 文件系统隔离:使用只读文件系统或临时卷
- 资源限制:可配置CPU、内存限制
- 用户权限隔离:以非特权用户运行
# 自定义Docker运行参数示例
container_run_kwargs = {
"mem_limit": "512m",
"cpu_quota": 100000,
"read_only": True,
"user": "nobody:nogroup"
}
使用示例
快速启用Docker执行器:
from smolagents import CodeAgent, InferenceClientModel
# 使用Docker执行器
with CodeAgent(
model=InferenceClientModel(),
tools=[],
executor_type="docker",
executor_kwargs={
"image_name": "custom-agent-image",
"container_run_kwargs": {"mem_limit": "1g"}
}
) as agent创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
