SkillLite 是一个轻量级、安全的自进化引擎用 Rust 构建其核心亮点之一是内置的原生系统级沙箱。本导览将深入探讨 SkillLite 的沙箱架构、关键文件和执行流程帮助您理解其如何实现强大的安全隔离。项目地址Skillite宏观架构SkillLite 采用独特的双层架构将“自进化引擎”与“安全沙箱”紧密结合。这种设计确保了智能体的进化能力不会以牺牲安全性为代价。┌──────────────────────────────────────────────────────────────┐ │ Self-Evolving Engine自进化引擎 │ │ ├─ Agent loop, LLM orchestration, tool execution │ │ ├─ Config, metadata, path validation │ │ └─ Evolution engine: feedback → reflect → evolve → verify │ │ ▼ │ │ 所有进化的产物都必须通过以下安全检查 ▼ │ ├──────────────────────────────────────────────────────────────┤ │ Security Sandbox安全沙箱 │ │ │ │ 在整个技能生命周期中提供全链防御 │ │ ├─ 安装时静态扫描 LLM 分析 供应链审计 │ │ ├─ 预执行两阶段确认 完整性检查 │ │ └─ 运行时OS 原生隔离 (Seatbelt / bwrap / seccomp) │ │ ├─ 进程执行白名单, 文件系统 / 网络 / IPC 锁定 │ │ └─ 资源限制 (CPU / 内存 / fork / 文件大小) │ └──────────────────────────────────────────────────────────────┘沙箱层是 SkillLite 安全基石它在技能的整个生命周期中提供三层防御安装时扫描 (Layer 1)在技能安装时进行静态规则扫描、LLM 辅助分析和供应链审计。预执行授权 (Layer 2)在技能执行前进行两阶段确认扫描结果 - 用户确认 - 运行和完整性检查。运行时沙箱 (Layer 3)这是本导览的重点通过操作系统原生机制如 macOS 上的 Seatbelt、Linux 上的 bwrap/seccomp实现进程隔离、文件系统/网络/IPC 锁定以及资源限制。SkillLite 提供了两个主要的二进制文件skilllite完整的堆栈包含进化引擎、智能体和沙箱功能。skilllite-sandbox一个轻量级的独立二进制文件仅提供沙箱和 MCP (Multi-Client Protocol) 服务器功能可供任何智能体框架集成使用。关键目录和文件SkillLite 项目采用工作区workspace结构将不同的功能模块组织成独立的 crate。Cargo.toml(根目录): 定义了整个工作区的成员 crate以及共享的包元数据和依赖。[workspace] members [skilllite, crates/*] exclude [crates/skilllite-assistant, crates/crates]这里可以看到skilllite是一个成员而所有位于crates/目录下的子 crate 也是工作区的一部分。skilllite/Cargo.toml: 这是主skillliteCLI 工具的定义它聚合了其他 crate 的功能并通过特性features进行配置。sandbox特性启用沙箱功能。audit特性启用审计功能与沙箱紧密相关。sandbox_binary特性一个特殊的特性组合用于构建独立的skilllite-sandbox二进制文件它只包含sandbox和audit功能不包含executor或agent。依赖项skilllite-sandboxcrate 是这里的核心依赖提供了沙箱的实际实现。[package] name skilllite # ... default-run skilllite [features] default [sandbox, audit, agent, swarm, artifact_http, channel_serve, gateway] sandbox [] audit [skilllite-sandbox/audit, skilllite-commands/audit, dep:ureq] # ... sandbox_binary [sandbox, audit] # 仅用于 skilllite-sandbox 构建 [dependencies] skilllite-sandbox { path ../crates/skilllite-sandbox, version 0.1.28 } skilllite-core { path ../crates/skilllite-core, version 0.1.28 } skilllite-fs { path ../crates/skilllite-fs, version 0.1.28 } # ... [[bin]] name skilllite path src/main.rs [[bin]] name skilllite-sandbox path src/bin/skilllite-sandbox.rs required-features [sandbox_binary]src/main.rs(在skilllitecrate 中): 这是完整skillliteCLI 的入口点。它会根据命令行参数和启用的特性来调度不同的功能包括调用沙箱执行技能。src/bin/skilllite-sandbox.rs(在skilllitecrate 中): 这是独立skilllite-sandbox二进制的入口点。它专注于提供沙箱服务通常作为一个 MCP (Multi-Client Protocol) 服务器运行接收并安全地执行技能请求。crates/skilllite-sandbox/:这是沙箱功能的核心实现所在。虽然Cargo.toml文件没有直接展示其内部结构但根据其名称和项目描述这个 crate 负责封装操作系统原生的沙箱机制如 Seatbelt、bwrap、seccomp并提供一个统一的接口供上层调用。它会处理进程隔离、文件系统/网络/IPC 访问控制以及资源限制。crates/skilllite-core/Cargo.toml: 定义了 SkillLite 的核心组件包括配置、技能元数据、路径验证和可观测性。路径验证对于沙箱的文件系统隔离至关重要确保只有授权的路径才能被访问。[package] name skilllite-core # ... [dependencies] skilllite-fs { path ../skilllite-fs, version 0.1.28 } # ...crates/skilllite-fs/Cargo.toml: 提供了 AI 智能体安全的文件操作包括读、写、搜索和替换并带有路径验证功能。这个 crate 很可能与skilllite-sandbox协同工作确保所有文件操作都在沙箱的严格控制下进行。主要执行流程以skilllite-sandbox二进制为例其执行流程大致如下启动skilllite-sandbox:通过以下命令构建并运行独立的沙箱二进制cargobuild-pskilllite--binskilllite-sandbox --no-default-features--featuressandbox_binary ./target/debug/skilllite-sandbox# 或 release 版本src/bin/skilllite-sandbox.rs是其入口点。它会初始化沙箱环境并可能启动一个 MCP 服务器来监听来自其他智能体或客户端的技能执行请求。接收技能执行请求:当一个智能体例如完整的skilllite智能体或外部智能体需要执行一个技能时它会向skilllite-sandbox进程发送一个执行请求。这个请求通常包含技能的代码、所需的输入以及沙箱配置例如允许访问的文件路径、网络权限等。预执行检查 (Layer 1 2):在实际进入 OS 级别的沙箱之前skilllite-sandbox会执行一系列预检查安装时扫描: 验证技能是否通过了静态代码分析、LLM 辅助分析和供应链审计。完整性检查: 验证技能代码的哈希值确保其未被篡改。两阶段确认: 如果配置需要可能会要求用户确认才能执行。运行时沙箱隔离 (Layer 3):skilllite-sandboxcrate 会利用操作系统提供的原生沙箱机制如 macOS 上的Seatbelt、Linux 上的bwrap或seccomp来创建一个高度受限的执行环境。进程隔离: 技能代码在一个独立的、受限的进程中运行与宿主系统和其他进程隔离。文件系统锁定: 通过skilllite-fs和skilllite-core中的路径验证逻辑结合 OS 级别的限制确保技能只能访问明确授权的文件和目录。例如禁止访问/etc/passwd或 SSH 私钥。网络锁定: 限制技能的网络访问例如默认禁止发送 HTTP 请求或监听端口。IPC / 内核锁定: 限制进程间通信和对内核功能的直接访问。资源限制: 使用rlimit等机制限制技能可用的 CPU、内存、子进程创建fork bomb 防御和文件大小。技能执行:在沙箱环境中技能代码被执行。任何试图突破沙箱限制的操作都会被操作系统或skilllite-sandbox捕获并阻止。结果返回:技能执行完成后其输出如果允许会被安全地收集并返回给请求方。重要抽象skilllite-sandboxcrate: 这是沙箱功能的核心抽象。它提供了一个接口用于创建和管理沙箱环境并在其中执行任意代码。它封装了底层 OS 特定的沙箱实现细节向上层提供统一的 API。skilllite-core中的配置和元数据: 包含了技能的定义、安全策略和允许的资源访问规则。这些规则在沙箱创建时被加载和应用。skilllite-fs中的安全文件操作: 这个 crate 提供了经过验证和受限的文件系统操作确保即使在沙箱内部文件访问也符合预定义的策略。例如它可能包含一个白名单机制只允许访问特定的目录。特性 (Features):skilllite/Cargo.toml中定义的sandbox和sandbox_binary特性是重要的抽象它们允许在编译时选择性地包含或排除沙箱功能从而生成不同用途的二进制文件。如何追踪一个功能要追踪 SkillLite 的原生系统级沙箱功能例如如何阻止一个沙箱内的 Python 脚本读取/etc/passwd起点: 假设您正在运行skilllite-sandbox二进制并通过其 MCP 接口提交一个 Python 技能其中包含open(/etc/passwd).read()。skilllite-sandboxcrate: 查找crates/skilllite-sandbox目录。这个 crate 内部会有一个核心的沙箱管理器或执行器。OS 接口调用: 在skilllite-sandboxcrate 中您会找到与操作系统沙箱 API 交互的代码。对于 macOS这可能涉及Seatbelt相关的系统调用或库。对于 Linux这可能涉及bwrap(bubblewrap) 的命令行调用或seccomp过滤器的配置。需要验证: 具体实现细节例如是直接调用系统 API 还是使用 Rust 包装库需要查看crates/skilllite-sandbox内部的源代码。文件系统规则: 追踪沙箱初始化时如何加载文件系统访问规则。这些规则可能来自skilllite-core定义的配置并通过skilllite-fs进行验证。沙箱会根据这些规则配置底层 OS 沙箱机制以阻止对/etc/passwd等敏感路径的访问。错误处理: 当技能尝试读取/etc/passwd时底层 OS 沙箱机制会拦截该操作并返回一个错误。skilllite-sandbox会捕获这个错误并将其转换为一个可读的沙箱违规报告返回给调用方。首次修改建议如果您想为 SkillLite 的沙箱功能做出贡献以下是一些建议的起点增强文件系统访问控制:在crates/skilllite-fs中添加更精细的路径验证逻辑例如允许基于正则表达式的路径白名单或黑名单。在crates/skilllite-sandbox中集成这些新的文件系统规则并确保它们能正确地映射到底层 OS 沙箱机制。扩展资源限制:在crates/skilllite-sandbox中为沙箱添加新的资源限制选项例如限制网络带宽或磁盘 I/O。这可能需要研究底层 OS 沙箱机制是否支持这些新的限制。添加新的沙箱后端:如果 SkillLite 尚未支持某个特定的操作系统或沙箱技术您可以尝试在crates/skilllite-sandbox中添加一个新的模块来支持它。这通常涉及实现一个抽象的沙箱接口并为新的后端提供具体的实现。仓库中待验证的空白尽管提供了详细的Cargo.toml和README.md但以下具体实现细节需要进一步查阅源代码来验证crates/skilllite-sandbox的内部实现:它具体如何调用 macOS 的 Seatbelt、Linux 的 bwrap 或 seccomp是直接使用 FFI 调用系统 API还是依赖于现有的 Rust crate沙箱配置文件系统、网络、进程白名单等是如何从高层抽象转换为底层 OS 沙箱规则的沙箱内部的错误和违规是如何捕获和报告的