SkillLite 原生系统级沙箱功能代码导览

SkillLite 是一个轻量级、安全的自进化引擎，用 Rust 构建，其核心亮点之一是内置的原生系统级沙箱。本导览将深入探讨 SkillLite 的沙箱架构、关键文件和执行流程，帮助您理解其如何实现强大的安全隔离。

项目地址：Skillite

宏观架构

SkillLite 采用独特的双层架构，将“自进化引擎”与“安全沙箱”紧密结合。这种设计确保了智能体的进化能力不会以牺牲安全性为代价。

┌──────────────────────────────────────────────────────────────┐ │ Self-Evolving Engine（自进化引擎） │ │ ├─ Agent loop, LLM orchestration, tool execution │ │ ├─ Config, metadata, path validation │ │ └─ Evolution engine: feedback → reflect → evolve → verify │ │ ▼ │ │ 所有进化的产物都必须通过以下安全检查 ▼ │ ├──────────────────────────────────────────────────────────────┤ │ Security Sandbox（安全沙箱） │ │ │ │ 在整个技能生命周期中提供全链防御： │ │ ├─ 安装时：静态扫描 + LLM 分析 + 供应链审计 │ │ ├─ 预执行：两阶段确认 + 完整性检查 │ │ └─ 运行时：OS 原生隔离 (Seatbelt / bwrap / seccomp) │ │ ├─ 进程执行白名单, 文件系统 / 网络 / IPC 锁定 │ │ └─ 资源限制 (CPU / 内存 / fork / 文件大小) │ └──────────────────────────────────────────────────────────────┘

沙箱层是 SkillLite 安全基石，它在技能的整个生命周期中提供三层防御：

1. 安装时扫描 (Layer 1)：在技能安装时进行静态规则扫描、LLM 辅助分析和供应链审计。
2. 预执行授权 (Layer 2)：在技能执行前进行两阶段确认（扫描结果 -> 用户确认 -> 运行）和完整性检查。
3. 运行时沙箱 (Layer 3)：这是本导览的重点，通过操作系统原生机制（如 macOS 上的 Seatbelt、Linux 上的 bwrap/seccomp）实现进程隔离、文件系统/网络/IPC 锁定以及资源限制。

SkillLite 提供了两个主要的二进制文件：

• skilllite：完整的堆栈，包含进化引擎、智能体和沙箱功能。
• skilllite-sandbox：一个轻量级的独立二进制文件，仅提供沙箱和 MCP (Multi-Client Protocol) 服务器功能，可供任何智能体框架集成使用。

关键目录和文件

SkillLite 项目采用工作区（workspace）结构，将不同的功能模块组织成独立的 crate。

• Cargo.toml(根目录): 定义了整个工作区的成员 crate，以及共享的包元数据和依赖。

  [workspace] members = ["skilllite", "crates/*"] exclude = ["crates/skilllite-assistant", "crates/crates"]

  这里可以看到skilllite是一个成员，而所有位于crates/目录下的子 crate 也是工作区的一部分。

• skilllite/Cargo.toml: 这是主skillliteCLI 工具的定义，它聚合了其他 crate 的功能并通过特性（features）进行配置。

  • sandbox特性：启用沙箱功能。
  • audit特性：启用审计功能，与沙箱紧密相关。
  • sandbox_binary特性：一个特殊的特性组合，用于构建独立的skilllite-sandbox二进制文件，它只包含sandbox和audit功能，不包含executor或agent。
  • 依赖项：skilllite-sandboxcrate 是这里的核心依赖，提供了沙箱的实际实现。

  [package] name = "skilllite" # ... default-run = "skilllite" [features] default = ["sandbox", "audit", "agent", "swarm", "artifact_http", "channel_serve", "gateway"] sandbox = [] audit = ["skilllite-sandbox/audit", "skilllite-commands/audit", "dep:ureq"] # ... sandbox_binary = ["sandbox", "audit"] # 仅用于 skilllite-sandbox 构建 [dependencies] skilllite-sandbox = { path = "../crates/skilllite-sandbox", version = "0.1.28" } skilllite-core = { path = "../crates/skilllite-core", version = "0.1.28" } skilllite-fs = { path = "../crates/skilllite-fs", version = "0.1.28" } # ... [[bin]] name = "skilllite" path = "src/main.rs" [[bin]] name = "skilllite-sandbox" path = "src/bin/skilllite-sandbox.rs" required-features = ["sandbox_binary"]

• src/main.rs(在skilllitecrate 中): 这是完整skillliteCLI 的入口点。它会根据命令行参数和启用的特性来调度不同的功能，包括调用沙箱执行技能。

• src/bin/skilllite-sandbox.rs(在skilllitecrate 中): 这是独立skilllite-sandbox二进制的入口点。它专注于提供沙箱服务，通常作为一个 MCP (Multi-Client Protocol) 服务器运行，接收并安全地执行技能请求。

• crates/skilllite-sandbox/:这是沙箱功能的核心实现所在。虽然Cargo.toml文件没有直接展示其内部结构，但根据其名称和项目描述，这个 crate 负责封装操作系统原生的沙箱机制（如 Seatbelt、bwrap、seccomp），并提供一个统一的接口供上层调用。它会处理进程隔离、文件系统/网络/IPC 访问控制以及资源限制。

• crates/skilllite-core/Cargo.toml: 定义了 SkillLite 的核心组件，包括配置、技能元数据、路径验证和可观测性。路径验证对于沙箱的文件系统隔离至关重要，确保只有授权的路径才能被访问。

  [package] name = "skilllite-core" # ... [dependencies] skilllite-fs = { path = "../skilllite-fs", version = "0.1.28" } # ...

• crates/skilllite-fs/Cargo.toml: 提供了 AI 智能体安全的文件操作，包括读、写、搜索和替换，并带有路径验证功能。这个 crate 很可能与skilllite-sandbox协同工作，确保所有文件操作都在沙箱的严格控制下进行。

主要执行流程

以skilllite-sandbox二进制为例，其执行流程大致如下：

1. 启动skilllite-sandbox:
   通过以下命令构建并运行独立的沙箱二进制：

   cargobuild-pskilllite--binskilllite-sandbox --no-default-features--featuressandbox_binary ./target/debug/skilllite-sandbox# 或 release 版本

   src/bin/skilllite-sandbox.rs是其入口点。它会初始化沙箱环境，并可能启动一个 MCP 服务器来监听来自其他智能体或客户端的技能执行请求。

2. 接收技能执行请求:
   当一个智能体（例如，完整的skilllite智能体或外部智能体）需要执行一个技能时，它会向skilllite-sandbox进程发送一个执行请求。这个请求通常包含技能的代码、所需的输入以及沙箱配置（例如，允许访问的文件路径、网络权限等）。

3. 预执行检查 (Layer 1 & 2):
   在实际进入 OS 级别的沙箱之前，skilllite-sandbox会执行一系列预检查：

   • 安装时扫描: 验证技能是否通过了静态代码分析、LLM 辅助分析和供应链审计。
   • 完整性检查: 验证技能代码的哈希值，确保其未被篡改。
   • 两阶段确认: 如果配置需要，可能会要求用户确认才能执行。

4. 运行时沙箱隔离 (Layer 3):

   • skilllite-sandboxcrate 会利用操作系统提供的原生沙箱机制（如 macOS 上的Seatbelt、Linux 上的bwrap或seccomp）来创建一个高度受限的执行环境。
   • 进程隔离: 技能代码在一个独立的、受限的进程中运行，与宿主系统和其他进程隔离。
   • 文件系统锁定: 通过skilllite-fs和skilllite-core中的路径验证逻辑，结合 OS 级别的限制，确保技能只能访问明确授权的文件和目录。例如，禁止访问/etc/passwd或 SSH 私钥。
   • 网络锁定: 限制技能的网络访问，例如，默认禁止发送 HTTP 请求或监听端口。
   • IPC / 内核锁定: 限制进程间通信和对内核功能的直接访问。
   • 资源限制: 使用rlimit等机制限制技能可用的 CPU、内存、子进程创建（fork bomb 防御）和文件大小。

5. 技能执行:
   在沙箱环境中，技能代码被执行。任何试图突破沙箱限制的操作都会被操作系统或skilllite-sandbox捕获并阻止。

6. 结果返回:
   技能执行完成后，其输出（如果允许）会被安全地收集并返回给请求方。

重要抽象

1. skilllite-sandboxcrate: 这是沙箱功能的核心抽象。它提供了一个接口，用于创建和管理沙箱环境，并在其中执行任意代码。它封装了底层 OS 特定的沙箱实现细节，向上层提供统一的 API。
2. skilllite-core中的配置和元数据: 包含了技能的定义、安全策略和允许的资源访问规则。这些规则在沙箱创建时被加载和应用。
3. skilllite-fs中的安全文件操作: 这个 crate 提供了经过验证和受限的文件系统操作，确保即使在沙箱内部，文件访问也符合预定义的策略。例如，它可能包含一个白名单机制，只允许访问特定的目录。
4. 特性 (Features):skilllite/Cargo.toml中定义的sandbox和sandbox_binary特性是重要的抽象，它们允许在编译时选择性地包含或排除沙箱功能，从而生成不同用途的二进制文件。

如何追踪一个功能

要追踪 SkillLite 的原生系统级沙箱功能，例如，如何阻止一个沙箱内的 Python 脚本读取/etc/passwd：

1. 起点: 假设您正在运行skilllite-sandbox二进制，并通过其 MCP 接口提交一个 Python 技能，其中包含open('/etc/passwd').read()。
2. skilllite-sandboxcrate: 查找crates/skilllite-sandbox目录。这个 crate 内部会有一个核心的沙箱管理器或执行器。
3. OS 接口调用: 在skilllite-sandboxcrate 中，您会找到与操作系统沙箱 API 交互的代码。
   • 对于 macOS，这可能涉及Seatbelt相关的系统调用或库。
   • 对于 Linux，这可能涉及bwrap(bubblewrap) 的命令行调用或seccomp过滤器的配置。
   • 需要验证: 具体实现细节（例如，是直接调用系统 API 还是使用 Rust 包装库）需要查看crates/skilllite-sandbox内部的源代码。
4. 文件系统规则: 追踪沙箱初始化时如何加载文件系统访问规则。这些规则可能来自skilllite-core定义的配置，并通过skilllite-fs进行验证。沙箱会根据这些规则配置底层 OS 沙箱机制，以阻止对/etc/passwd等敏感路径的访问。
5. 错误处理: 当技能尝试读取/etc/passwd时，底层 OS 沙箱机制会拦截该操作并返回一个错误。skilllite-sandbox会捕获这个错误，并将其转换为一个可读的沙箱违规报告，返回给调用方。

首次修改建议

如果您想为 SkillLite 的沙箱功能做出贡献，以下是一些建议的起点：

1. 增强文件系统访问控制:
   • 在crates/skilllite-fs中添加更精细的路径验证逻辑，例如，允许基于正则表达式的路径白名单或黑名单。
   • 在crates/skilllite-sandbox中集成这些新的文件系统规则，并确保它们能正确地映射到底层 OS 沙箱机制。
2. 扩展资源限制:
   • 在crates/skilllite-sandbox中，为沙箱添加新的资源限制选项，例如，限制网络带宽或磁盘 I/O。这可能需要研究底层 OS 沙箱机制是否支持这些新的限制。
3. 添加新的沙箱后端:
   • 如果 SkillLite 尚未支持某个特定的操作系统或沙箱技术，您可以尝试在crates/skilllite-sandbox中添加一个新的模块来支持它。这通常涉及实现一个抽象的沙箱接口，并为新的后端提供具体的实现。

仓库中待验证的空白

尽管提供了详细的Cargo.toml和README.md，但以下具体实现细节需要进一步查阅源代码来验证：

1. crates/skilllite-sandbox的内部实现:
   • 它具体如何调用 macOS 的 Seatbelt、Linux 的 bwrap 或 seccomp？是直接使用 FFI 调用系统 API，还是依赖于现有的 Rust crate？
   • 沙箱配置（文件系统、网络、进程白名单等）是如何从高层抽象转换为底层 OS 沙箱规则的？
   • 沙箱内部的错误和违规是如何捕获和报告的？