Seguridad en Modo Código (Beta)

El Modo Código permite a los agentes ejecutar código TypeScript para encadenar múltiples herramientas MCP, en lugar de realizar llamadas individuales a herramientas. Este enfoque reduce significativamente la latencia y el uso de tokens pero introduce nuevas consideraciones de seguridad.

Edison Watch asegura el Modo Código con una arquitectura de defensa en profundidad que combina ejecución en sandbox, análisis estático y rastreo de datos consciente de contaminación.

¿Por qué Modo Código?

Los agentes tradicionales sufren de pudrición de contexto. Cada entrada y salida de llamada a herramienta debe agregarse a la ventana de contexto del LLM. Conectar un agente a muchos servidores MCP conduce a la pudrición de contexto, ya que las definiciones de herramientas consumen tokens incluso antes de realizar cualquier acción. Para el procesamiento de datos complejos (ej., "resumir estos 20 archivos"), esto puede consumir cientos de miles de tokens solo para mover datos.

Modo Código resuelve esto permitiendo al agente escribir un script para procesar datos dentro del entorno seguro. El LLM solo ve el resultado final, a menudo reduciendo el uso de tokens en más del 90%.

Arquitectura de Seguridad

Edison Watch emplea tres capas de defensa para hacer que el Modo Código sea seguro para el despliegue empresarial.

1. El Sandbox de Deno (Protección RCE)

El código se ejecuta en un sandbox seguro de Deno con permisos estrictos:

• Sin Acceso a Red: El script no puede hacer solicitudes HTTP arbitrarias. Solo puede llamar herramientas MCP permitidas.
• Sin Escritura en Sistema de Archivos: El script no puede modificar el sistema de archivos del host.
• Límites de Recursos: Límites fijos en tiempo de ejecución (90s), memoria (256MB) y tamaño de salida (10MB).

2. Análisis AST (Analizabilidad)

Antes de la ejecución, Edison Watch analiza el Árbol de Sintaxis Abstracta (AST) del script para imponer un subconjunto estricto de TypeScript. Esto previene técnicas de ofuscación que los atacantes usan para ocultar comportamientos maliciosos.

3. Trifecta Consciente de Contaminación (Protección de Datos)

El modelo "Trifecta Letal" vainilla (bloquear Datos Privados + Contenido No Confiable + Comunicación Externa) puede ser demasiado agresivo para la ejecución de código. El Modo Código usa rastreo de contaminación para ser más preciso.

El Enfoque "Bisturí"

En lugar de marcar toda la sesión cuando se llama a una herramienta sensible, Edison Watch rastrea el flujo real de variables de datos dentro del script.

Ejemplo: El Problema del Calendario Imagina que un agente lee una invitación de calendario para verificar tu disponibilidad. El cuerpo de la invitación contiene contenido no confiable (inyección de prompt potencial), pero los tiempos de inicio/fin son metadatos seguros.

• Trifecta Vainilla: Bloquea la acción porque "Calendario" (Privado) y "Cuerpo de Invitación" (No Confiable) fueron accedidos, incluso si el agente solo imprimió la hora.
• Rastreo de Contaminación de Modo Código: Analiza el script. Si el código console.log(event.startTime) pero nunca registra event.body, Edison sabe que el contenido no confiable nunca salió del sandbox. La acción se permite.

Esta precisión reduce falsos positivos mientras mantiene garantías estrictas de seguridad.

Observabilidad

Cada ejecución de Modo Código es totalmente auditada. El sistema registra:

• El código TypeScript exacto generado por el agente.
• Resultados de validación y cualquier error AST.
• Salida de consola y valores de retorno.
• Qué rutas de datos específicas fueron marcadas como contaminadas.

Estos detalles se almacenan en los registros de auditoría segura.

Límites Operativos

Para prevenir denegación de servicio (DoS) y abuso, el Modo Código impone límites estrictos:

Preguntas Frecuentes

---