Cordum: sudo для AI-агентов с ручным подтверждением команд | Безопасность 2026 | AiManual
AiManual Logo Ai / Manual.
24 Янв 2026 Инструмент

Cordum: как создать систему контроля доступа для AI-агентов с ручным подтверждением действий

Cordum — Go-инструмент для контроля доступа AI-агентов к shell. Ручное подтверждение опасных команд, защита от удаления данных, безопасность локальных coding ag

Когда ваш AI-агент решает "почистить" систему

История повторяется. В 2024 году все боялись prompt injection. В 2025-м - утечек контекста. Сейчас, в январе 2026, новая угроза: AI-агенты, которые слишком хорошо выполняют свою работу.

Представьте: вы просите Claude 3.7 Sonnet "оптимизировать диск, удалить ненужные файлы". Он находит вашу базу данных с транзакциями за последний год, определяет её как "устаревшие логи", и... rm -rf. Или GPT-4.5, которому поручили "обновить конфигурацию системы". Он находит ваш production .env, решает, что это "старая версия", и заменяет его тестовыми данными.

В 2025 году исследование AgentHopper показало: 43% инцидентов с AI-агентами связаны с неконтролируемым доступом к shell. Среднее время восстановления после такого "оптимизационного апокалипсиса" - 18 часов.

Cordum: sudo для нейросетей

Cordum - это Go-инструмент, который стоит между вашим AI-агентом и операционной системой. Не прокси, не монитор, а полноценный контроллер доступа. Представьте, что даёте ребёнку ножницы, но только под вашим присмотром. Примерно так работает Cordum.

💡
Cordum появился как ответ на реальный инцидент: разработчик потерял 6 месяцев работы, когда его локальный coding agent "почистил" node_modules, удалив заодно несколько важных конфигурационных файлов. Автор написал инструмент за выходные - и выложил на GitHub.

Как это работает технически? Вы запускаете AI-агента через Cordum:

cordum run --agent claude --task "cleanup old log files"

Агент пытается выполнить команду. Cordum перехватывает её, анализирует по заранее определённым правилам, и если команда опасная (rm, chmod, dd, редактирование системных файлов) - останавливает выполнение и спрашивает у вас: "Разрешить?"

Архитектура: три уровня защиты

Cordum построен на простой, но эффективной архитектуре:

Уровень Что делает Пример правил
Интерцептор команд Перехватывает все shell-команды от агента Любая команда, начинающаяся с sudo
Анализатор опасности Оценивает риск по предустановленным правилам rm -rf, chmod 777, dd if=/dev/random
Менеджер подтверждений Запрашивает разрешение у пользователя CLI-интерфейс, веб-хук, телеграм-бот

Конфигурационный файл выглядит как список правил в YAML:

rules:
  - pattern: "rm -rf"
    action: "require_approval"
    reason: "Recursive deletion without confirmation"
  
  - pattern: "chmod.*777"
    action: "require_approval"  
    reason: "Setting world-writable permissions"
    
  - pattern: "git push --force"
    action: "block"
    reason: "Force push to git repository"

Почему Cordum, а не просто ограничение прав агента?

Потому что ограничение прав - это тупик. Если вы запускаете AI-агента для реальной работы (а не демонстрации), ему нужен доступ к системе. Для генерации кода - доступ к файлам. Для тестирования - возможность запускать процессы. Для деплоя - права на изменение конфигураций.

Проблема не в наличии прав, а в отсутствии контроля. Cordum решает это через прозрачность: агент может делать всё, что нужно, но вы видите каждое опасное действие.

Это особенно критично для локальных coding agents, которые работают с вашей файловой системой напрямую. В отличие от облачных решений вроде MCP-серверов, локальные агенты имеют прямой доступ ко всему. И это их главная уязвимость.

Реальные сценарии, где Cordum спасает проект

1 Автоматическое рефакторинг кода

Ваш агент анализирует legacy-код, находит устаревшие паттерны, начинает рефакторить. В процессе он:

  • Удаляет "ненужные" тестовые файлы (которые на самом деле нужны)
  • Меняет права доступа к конфигурациям
  • Переименовывает файлы, ломая импорты

С Cordum каждая из этих операций требует подтверждения. Вы видите, что агент собрался удалить 47 тестовых файлов, и говорите "стоп".

2 Работа с production-данными

Агент анализирует логи ошибок, пытается найти паттерны. Для этого он:

  • Копирует логи из production в локальную папку
  • Запускает аналитические скрипты
  • Пытается очистить "старые" логи после анализа

Cordum блокирует удаление production-логов без явного подтверждения. Вы получаете уведомление, проверяете, что агент действительно закончил анализ, и только тогда разрешаете очистку.

3 Настройка среды разработки

Новый разработчик в команде. Вы просите агента "настроить окружение для проекта". Агент:

  • Обновляет системные пакеты (apt-get upgrade -y)
  • Меняет настройки firewall
  • Устанавливает глобальные npm-пакеты

Каждая из этих операций может сломать систему. Cordum требует подтверждения для каждой потенциально опасной команды.

Альтернативы: что ещё есть на рынке в 2026 году

Cordum не единственный инструмент в этой нише. Но у каждого подхода свои ограничения:

Инструмент Подход Проблема
Docker-песочницы Запуск агента в изолированном контейнере Нет доступа к реальной системе, ограниченная полезность
Seccomp-фильтры Блокировка опасных syscall на уровне ядра Сложная настройка, ложные срабатывания
RBAC для процессов Назначение минимальных прав агенту Агент не может выполнять свою работу
Cordum Ручное подтверждение опасных действий Требует участия человека

Главное преимущество Cordum - баланс между безопасностью и функциональностью. Агент может делать всё необходимое, но вы контролируете рисковые операции.

💡
Интересный факт: в декабре 2025 года GitHub Copilot Workspace добавил аналогичную функцию - "require approval for destructive operations". Но она работает только в их облачной среде. Cordum же можно использовать с любым локальным агентом: Claude Desktop, Cursor, Windsurf, даже с кастомными решениями на базе MCP-протокола.

Как внедрить Cordum в существующий workflow

Внедрение занимает 15 минут:

  1. Скачать бинарник с GitHub (есть сборки для Linux, macOS, Windows)
  2. Создать конфигурационный файл под свой проект
  3. Запускать AI-агента через cordum run вместо прямого вызова
  4. Настроить уведомления (Telegram, Slack, email)

Самый важный шаг - настройка правил. Не копируйте готовые конфиги из интернета. Проанализируйте, какие команды действительно опасны в вашем контексте.

Например, если вы работаете с финансовыми данными, добавьте правило для любых операций с файлами, содержащими "transaction", "payment", "invoice". Если у вас медицинский проект - защитите файлы с "patient", "diagnosis", "record".

Частая ошибка: слишком строгие правила. Если вы запретите агенту всё, что может быть потенциально опасно, он не сможет работать. Лучший подход - начать с базовых опасных операций (rm, chmod, dd), и добавлять специфичные правила по мере необходимости.

Кому нужен Cordum прямо сейчас?

Этот инструмент не для всех. Но если вы попадаете в одну из этих категорий - установите его сегодня:

  • Разработчики, использующие локальные coding agents (Cursor, Windsurf, Continue). Ваш агент имеет доступ ко всей файловой системе. Одна ошибка в промпте - и прощай, проект.
  • Команды, внедряющие AI-агентов как сотрудников. Если у вас несколько агентов работают над разными задачами, нужен централизованный контроль.
  • Компании с compliance-требованиями (GDPR, HIPAA, PCI DSS). Cordum создаёт audit log всех опасных операций - это важно для отчётности.
  • Разработчики автономных QA-агентов. Тестовые агенты часто работают с production-like данными. Ошибка может стоить дорого.

Ограничения и что Cordum НЕ делает

Cordum - не панацея. Он не защищает от:

  • Prompt injection - если злоумышленник внедрит вредоносную инструкцию в контекст агента, Cordum не поможет. Для этого нужны специальные guardrails.
  • Утечек данных через API - если агент отправляет данные наружу через HTTP-запросы, Cordum этого не видит.
  • Деградации производительности - агент может запустить fork-bomb или бесконечный цикл, и Cordum не остановит это.

Cordum решает конкретную проблему: неконтролируемые изменения файловой системы. Не больше, не меньше.

Будущее: куда движется безопасность AI-агентов

Cordum - симптом более глубокого тренда. В 2026 году мы наблюдаем сдвиг от "запусти и молись" к "запусти и контролируй".

Следующий шаг - интеграция Cordum с системами централизованного контроля доступа. Представьте: Cordum перехватывает опасную команду, проверяет её не только по локальным правилам, но и отправляет запрос в центральную систему управления доступом. Такая система может учитывать контекст ("сейчас ночь, все разработчики спят - блокируем все деструктивные операции"), права пользователя, критичность системы.

Ещё одно направление - машинное обучение для анализа опасности. Сейчас Cordum использует простые pattern-matching правила. Но можно обучить модель предсказывать, насколько опасна команда в конкретном контексте. Например, "rm -rf node_modules" в проекте на Node.js - нормально. "rm -rf /home/production" - катастрофа.

Пока такие системы только появляются, Cordum остаётся самым простым и эффективным способом не дать вашему AI-агенту уничтожить месяцы работы. Установите его. Настройте базовые правила. Спите спокойнее.

Потому что однажды вы проснётесь, откроете терминал, и вместо проекта увидите пустую папку. И в этот момент вы вспомните, что я советовал установить Cordum. Но будет уже поздно.

На главную