SkillLite 原生系统级沙箱功能代码导览

SkillLite 是一个轻量级、安全的自进化引擎，用 Rust 构建，其核心亮点之一是内置的原生系统级沙箱。本导览将深入探讨 SkillLite 的沙箱架构、关键文件和执行流程，帮助您理解其如何实现强大的安全隔离。

项目地址：Skillite

宏观架构

SkillLite 采用独特的双层架构，将"自进化引擎"与"安全沙箱"紧密结合。这种设计确保了智能体的进化能力不会以牺牲安全性为代价。

┌──────────────────────────────────────────────────────────────┐
│  Self-Evolving Engine（自进化引擎）                             │
│  ├─ Agent loop, LLM orchestration, tool execution            │
│  ├─ Config, metadata, path validation                        │
│  └─ Evolution engine: feedback → reflect → evolve → verify   │
│                         ▼                                    │
│          所有进化的产物都必须通过以下安全检查 ▼                │
├──────────────────────────────────────────────────────────────┤
│  Security Sandbox（安全沙箱）                                  │
│                                                              │
│  在整个技能生命周期中提供全链防御：                           │
│  ├─ 安装时：静态扫描 + LLM 分析 + 供应链审计                   │
│  ├─ 预执行：两阶段确认 + 完整性检查                            │
│  └─ 运行时：OS 原生隔离 (Seatbelt / bwrap / seccomp)         │
│     ├─ 进程执行白名单, 文件系统 / 网络 / IPC 锁定             │
│     └─ 资源限制 (CPU / 内存 / fork / 文件大小)                │
└──────────────────────────────────────────────────────────────┘

沙箱层是 SkillLite 安全基石，它在技能的整个生命周期中提供三层防御：

1. 安装时扫描 (Layer 1)：在技能安装时进行静态规则扫描、LLM 辅助分析和供应链审计。
2. 预执行授权 (Layer 2)：在技能执行前进行两阶段确认（扫描结果 -> 用户确认 -> 运行）和完整性检查。
3. 运行时沙箱 (Layer 3)：这是本导览的重点，通过操作系统原生机制（如 macOS 上的 Seatbelt、Linux 上的 bwrap/seccomp）实现进程隔离、文件系统/网络/IPC 锁定以及资源限制。

SkillLite 提供了两个主要的二进制文件：

• skilllite：完整的堆栈，包含进化引擎、智能体和沙箱功能。
• skilllite-sandbox：一个轻量级的独立二进制文件，仅提供沙箱和 MCP (Multi-Client Protocol) 服务器功能，可供任何智能体框架集成使用。

关键目录和文件

SkillLite 项目采用工作区（workspace）结构，将不同的功能模块组织成独立的 crate。

• Cargo.toml (根目录): 定义了整个工作区的成员 crate，以及共享的包元数据和依赖。

  [workspace]
  members = ["skilllite", "crates/*"]
  exclude = ["crates/skilllite-assistant", "crates/crates"]

  这里可以看到 skilllite 是一个成员，而所有位于 crates/ 目录下的子 crate 也是工作区的一部分。

• skilllite/Cargo.toml : 这是主 skilllite CLI 工具的定义，它聚合了其他 crate 的功能并通过特性（features）进行配置。

  • sandbox 特性：启用沙箱功能。
  • audit 特性：启用审计功能，与沙箱紧密相关。
  • sandbox_binary 特性：一个特殊的特性组合，用于构建独立的 skilllite-sandbox 二进制文件，它只包含 sandbox 和 audit 功能，不包含 executor 或 agent。
  • 依赖项：skilllite-sandbox crate 是这里的核心依赖，提供了沙箱的实际实现。

  [package]
  name = "skilllite"
  # ...
  default-run = "skilllite"
  
  [features]
  default = ["sandbox", "audit", "agent", "swarm", "artifact_http", "channel_serve", "gateway"]
  sandbox = []
  audit = ["skilllite-sandbox/audit", "skilllite-commands/audit", "dep:ureq"]
  # ...
  sandbox_binary = ["sandbox", "audit"] # 仅用于 skilllite-sandbox 构建
  
  [dependencies]
  skilllite-sandbox = { path = "../crates/skilllite-sandbox", version = "0.1.28" }
  skilllite-core = { path = "../crates/skilllite-core", version = "0.1.28" }
  skilllite-fs = { path = "../crates/skilllite-fs", version = "0.1.28" }
  # ...
  
  [[bin]]
  name = "skilllite"
  path = "src/main.rs"
  
  [[bin]]
  name = "skilllite-sandbox"
  path = "src/bin/skilllite-sandbox.rs"
  required-features = ["sandbox_binary"]

• src/main.rs (在 skilllite crate 中) : 这是完整 skilllite CLI 的入口点。它会根据命令行参数和启用的特性来调度不同的功能，包括调用沙箱执行技能。

• src/bin/skilllite-sandbox.rs (在 skilllite crate 中) : 这是独立 skilllite-sandbox 二进制的入口点。它专注于提供沙箱服务，通常作为一个 MCP (Multi-Client Protocol) 服务器运行，接收并安全地执行技能请求。

• crates/skilllite-sandbox/ : 这是沙箱功能的核心实现所在。 虽然 Cargo.toml 文件没有直接展示其内部结构，但根据其名称和项目描述，这个 crate 负责封装操作系统原生的沙箱机制（如 Seatbelt、bwrap、seccomp），并提供一个统一的接口供上层调用。它会处理进程隔离、文件系统/网络/IPC 访问控制以及资源限制。

• crates/skilllite-core/Cargo.toml : 定义了 SkillLite 的核心组件，包括配置、技能元数据、路径验证和可观测性。路径验证对于沙箱的文件系统隔离至关重要，确保只有授权的路径才能被访问。

  [package]
  name = "skilllite-core"
  # ...
  [dependencies]
  skilllite-fs = { path = "../skilllite-fs", version = "0.1.28" }
  # ...

• crates/skilllite-fs/Cargo.toml : 提供了 AI 智能体安全的文件操作，包括读、写、搜索和替换，并带有路径验证 功能。这个 crate 很可能与 skilllite-sandbox 协同工作，确保所有文件操作都在沙箱的严格控制下进行。

主要执行流程

以 skilllite-sandbox 二进制为例，其执行流程大致如下：

1. 启动 skilllite-sandbox :

   通过以下命令构建并运行独立的沙箱二进制：

   cargo build -p skilllite --bin skilllite-sandbox --no-default-features --features sandbox_binary
   ./target/debug/skilllite-sandbox # 或 release 版本

   src/bin/skilllite-sandbox.rs 是其入口点。它会初始化沙箱环境，并可能启动一个 MCP 服务器来监听来自其他智能体或客户端的技能执行请求。

2. 接收技能执行请求 :

   当一个智能体（例如，完整的 skilllite 智能体或外部智能体）需要执行一个技能时，它会向 skilllite-sandbox 进程发送一个执行请求。这个请求通常包含技能的代码、所需的输入以及沙箱配置（例如，允许访问的文件路径、网络权限等）。

3. 预执行检查 (Layer 1 & 2) :

   在实际进入 OS 级别的沙箱之前，skilllite-sandbox 会执行一系列预检查：

   • 安装时扫描: 验证技能是否通过了静态代码分析、LLM 辅助分析和供应链审计。
   • 完整性检查: 验证技能代码的哈希值，确保其未被篡改。
   • 两阶段确认: 如果配置需要，可能会要求用户确认才能执行。

4. 运行时沙箱隔离 (Layer 3):

   • skilllite-sandbox crate 会利用操作系统提供的原生沙箱机制（如 macOS 上的 Seatbelt、Linux 上的 bwrap 或 seccomp）来创建一个高度受限的执行环境。
   • 进程隔离: 技能代码在一个独立的、受限的进程中运行，与宿主系统和其他进程隔离。
   • 文件系统锁定 : 通过 skilllite-fs 和 skilllite-core 中的路径验证逻辑，结合 OS 级别的限制，确保技能只能访问明确授权的文件和目录。例如，禁止访问 /etc/passwd 或 SSH 私钥。
   • 网络锁定: 限制技能的网络访问，例如，默认禁止发送 HTTP 请求或监听端口。
   • IPC / 内核锁定: 限制进程间通信和对内核功能的直接访问。
   • 资源限制 : 使用 rlimit 等机制限制技能可用的 CPU、内存、子进程创建（fork bomb 防御）和文件大小。

5. 技能执行 :

   在沙箱环境中，技能代码被执行。任何试图突破沙箱限制的操作都会被操作系统或 skilllite-sandbox 捕获并阻止。

6. 结果返回 :

   技能执行完成后，其输出（如果允许）会被安全地收集并返回给请求方。

重要抽象

1. skilllite-sandbox crate: 这是沙箱功能的核心抽象。它提供了一个接口，用于创建和管理沙箱环境，并在其中执行任意代码。它封装了底层 OS 特定的沙箱实现细节，向上层提供统一的 API。
2. skilllite-core 中的配置和元数据: 包含了技能的定义、安全策略和允许的资源访问规则。这些规则在沙箱创建时被加载和应用。
3. skilllite-fs 中的安全文件操作: 这个 crate 提供了经过验证和受限的文件系统操作，确保即使在沙箱内部，文件访问也符合预定义的策略。例如，它可能包含一个白名单机制，只允许访问特定的目录。
4. 特性 (Features) : skilllite/Cargo.toml 中定义的 sandbox 和 sandbox_binary 特性是重要的抽象，它们允许在编译时选择性地包含或排除沙箱功能，从而生成不同用途的二进制文件。

如何追踪一个功能

要追踪 SkillLite 的原生系统级沙箱功能，例如，如何阻止一个沙箱内的 Python 脚本读取 /etc/passwd：

1. 起点 : 假设您正在运行 skilllite-sandbox 二进制，并通过其 MCP 接口提交一个 Python 技能，其中包含 open('/etc/passwd').read()。
2. skilllite-sandbox crate : 查找 crates/skilllite-sandbox 目录。这个 crate 内部会有一个核心的沙箱管理器或执行器。
3. OS 接口调用 : 在 skilllite-sandbox crate 中，您会找到与操作系统沙箱 API 交互的代码。
   • 对于 macOS，这可能涉及 Seatbelt 相关的系统调用或库。
   • 对于 Linux，这可能涉及 bwrap (bubblewrap) 的命令行调用或 seccomp 过滤器的配置。
   • 需要验证 : 具体实现细节（例如，是直接调用系统 API 还是使用 Rust 包装库）需要查看 crates/skilllite-sandbox 内部的源代码。
4. 文件系统规则 : 追踪沙箱初始化时如何加载文件系统访问规则。这些规则可能来自 skilllite-core 定义的配置，并通过 skilllite-fs 进行验证。沙箱会根据这些规则配置底层 OS 沙箱机制，以阻止对 /etc/passwd 等敏感路径的访问。
5. 错误处理 : 当技能尝试读取 /etc/passwd 时，底层 OS 沙箱机制会拦截该操作并返回一个错误。skilllite-sandbox 会捕获这个错误，并将其转换为一个可读的沙箱违规报告，返回给调用方。

首次修改建议

如果您想为 SkillLite 的沙箱功能做出贡献，以下是一些建议的起点：

1. 增强文件系统访问控制 :
   • 在 crates/skilllite-fs 中添加更精细的路径验证逻辑，例如，允许基于正则表达式的路径白名单或黑名单。
   • 在 crates/skilllite-sandbox 中集成这些新的文件系统规则，并确保它们能正确地映射到底层 OS 沙箱机制。
2. 扩展资源限制 :
   • 在 crates/skilllite-sandbox 中，为沙箱添加新的资源限制选项，例如，限制网络带宽或磁盘 I/O。这可能需要研究底层 OS 沙箱机制是否支持这些新的限制。
3. 添加新的沙箱后端 :
   • 如果 SkillLite 尚未支持某个特定的操作系统或沙箱技术，您可以尝试在 crates/skilllite-sandbox 中添加一个新的模块来支持它。这通常涉及实现一个抽象的沙箱接口，并为新的后端提供具体的实现。

仓库中待验证的空白

尽管提供了详细的 Cargo.toml 和 README.md，但以下具体实现细节需要进一步查阅源代码来验证：

1. crates/skilllite-sandbox 的内部实现 :
   • 它具体如何调用 macOS 的 Seatbelt、Linux 的 bwrap 或 seccomp？是直接使用 FFI 调用系统 API，还是依赖于现有的 Rust crate？
   • 沙箱配置（文件系统、网络、进程白名单等）是如何从高层抽象转换为底层 OS 沙箱规则的？
   • 沙箱内部的错误和违规是如何捕获和报告的？