Docker - это не тюрьма. Это общежитие
Запускать автономного агента на GPT-5.2 в обычном контейнере - все равно что оставить незнакомца в квартире с ключами от сейфа. В теории он будет вести себя прилично. На практике... ну, вы читали про 40 000 голых агентов в интернете.
Void-Box появился как ответ на эту паранойю. Разработчики устали от полумер. Docker? Дырявый. gVisor? Медленный. Firecracker? Сложный. Нужен был инструмент, который изолирует агентов так, чтобы они физически не могли дотянуться до хоста.
К февралю 2026 года атаки через prompt injection стали настолько обыденными, что OWASP выпустил отдельный топ-10 для AI-агентов. Void-Box создавали с оглядкой на этот список.
Архитектура: Rust, KVM и паранойя как дизайн-принцип
Void-Box не контейнеризатор. Это менеджер микро-виртуальных машин. Каждый агент получает свою изолированную ВМ на базе KVM с урезанным ядром Linux. Память? Изолирована. CPU? Виртуализирован. Сеть? Только если явно разрешили.
1 Rust от и до
Весь код написан на Rust. Не "частично", не "ядерные модули" - полностью. Это исключает целый класс уязвимостей, связанных с управлением памятью. Команда Void-Box заявила: "Если в коде есть unsafe блок - это баг".
2 MCP как lingua franca
Здесь нет своего проприетарного API. Void-Box использует Model Context Protocol (MCP) - открытый стандарт, который поддерживают все крупные модели 2026 года. Ваш агент на Claude 3.7 или GPT-5.2 подключается одинаково.
3 OTLP для слежки
Каждый системный вызов, каждая попытка доступа к сети, каждое обращение к диску - все летит в OpenTelemetry. Вы видите не только что агент сделал, но и что он пытался сделать. Это критично для обнаружения атак до того, как они станут успешными.
Void-Box против всего, что вы использовали раньше
Помните наше сравнение Docker, gVisor и Firecracker? Void-Box берет лучшее от каждого и добавляет свой уровень паранойи.
| Технология | Уровень изоляции | Overhead | Подходит для агентов |
|---|---|---|---|
| Docker | Процессы, namespaces | ~1-5% | Только доверенные |
| gVisor | Пользовательское ядро | ~10-20% | Средний риск |
| Firecracker | Микро-ВМ | ~3-8% | Высокий риск |
| Void-Box | Микро-ВМ + Rust sandbox | ~5-12% | Критичные задачи |
Главное отличие: Void-Box не дает агенту даже теоретической возможности сбежать. KVM обеспечивает изоляцию на уровне железа, а Rust runtime отсекает все лишнее. Это как посадить человека в комнату без дверей. С окошком для передачи записок (MCP).
"Дай мне пример, а то не верю"
Хорошо. Допустим, у вас есть агент, который должен чинить баги в коде. Но вы не хотите, чтобы он случайно (или намеренно) зашил бэкдор.
# Устанавливаем Void-Box (требуется KVM и Rust 1.85+)
curl -sSL https://get.voidbox.io | bash
# Создаем конфиг для агента
cat > code-review-agent.yaml << EOF
vm:
memory_mb: 512
vcpus: 2
rootfs: voidbox://images/ubuntu-minimal-24.04
mcp_servers:
- type: filesystem
allowed_paths: [/tmp/code]
read_only: false
- type: command
allowed_commands: [git, grep, sed, python3]
monitoring:
otlp_endpoint: "http://localhost:4317"
trace_all_syscalls: true
EOF
# Запускаем агента
voidbox run --config code-review-agent.yaml \
--agent "claude-3.7-sonnet" \
--task "Проанализируй код в /tmp/code на наличие уязвимостей"
Агент будет работать в своей микро-ВМ. Он сможет читать и писать только в /tmp/code. Он сможет запускать только git, grep, sed и python3. Попытка сделать что-то еще - сразу в OTLP логи и алерт.
В феврале 2026 года большинство облачных провайдеров поддерживают KVM-изоляцию на своих инстансах. Void-Box отлично работает на Vultr и других платформах с nested virtualization.
Кому это вообще нужно?
Не всем. Если ваш агент просто отвечает на вопросы по базе знаний - хватит и Docker. Но есть случаи, где Void-Box не альтернатива, а необходимость:
- Автономные DevOps-агенты: те, что могут запускать terraform apply или kubectl. Одна ошибка - и прощай, production. Fluid.sh решает похожие задачи, но иначе.
- Агенты для анализа security-инцидентов: они получают доступ к логам, возможно, с чувствительными данными.
- Исследовательские проекты: где агенты тестируют эксплойты или анализируют вредоносный код.
- Мультитенантные SaaS: когда вы запускаете агентов для разных клиентов на одном железе.
Подводные камни (потому что идеальных инструментов не бывает)
Void-Box - не серебряная пуля. Во-первых, он требует KVM. Нет KVM - нет Void-Box. Во-вторых, overhead хоть и небольшой, но есть. Запуск микро-ВМ занимает 200-500 мс против 50 мс у контейнеров.
В-третьих, это сложнее, чем Docker. Нужно настраивать и образы ВМ, и MCP-серверы, и политики доступа. Но разработчики говорят, что это цена безопасности. И они правы.
Что дальше? Интеграция с аппаратными TPM
Команда Void-Box анонсировала работу над интеграцией с Trusted Platform Module 2.0. Идея: каждый агент получает свою изолированную часть TPM для хранения ключей. Даже если злоумышленник получит физический доступ к серверу, он не сможет извлечь секреты агента.
Это звучит как паранойя уровня спецслужб. Но в 2026 году, после серии инцидентов с кражей API-ключей через скомпрометированных агентов, такая паранойя становится разумной предосторожностью.
Void-Box не первый инструмент для изоляции, и не последний. Но он первый, кто сделал KVM-микро-ВМ такими же простыми в использовании, как Docker-контейнеры. Цена этой простоты - необходимость думать о безопасности на шаг вперед.
Как сказал один из разработчиков: "Мы не строим песочницы. Мы строим клетки Фарадея для ИИ. Агент может делать внутри что угодно - наружу не просочится ни бит".
И иногда, особенно когда имеешь дело с моделями уровня GPT-5.2, которые умеют находить уязвимости лучше половины пентестеров, такие клетки - единственный способ спать спокойно.
