chain-studio/assets/docs/security_de.md
flemming-it 7ff4fda2a3
Some checks failed
Security / Security check (push) Failing after 2s
refactor(brand): rename F∆I -> Ch∆In + hub binary fai -> chain
Studio follows the platform rename: product branding F∆I -> Ch∆In in UI
strings, command examples fai -> chain, and — critically — the spawned
hub binary path ~/.fai/bin/fai -> ~/.fai/bin/chain so Studio launches
the renamed binary. The fai_* Dart identifiers (FaiLog, widget files,
the generated SDK) stay = vendor/internal namespace. flutter analyze:
no issues.

Signed-off-by: flemming-it <stefan.a.flemming@googlemail.com>
2026-06-15 16:22:22 +02:00

2.4 KiB

Sandbox-Modell

Jedes Ch∆In-Modul läuft in einer WebAssembly-Sandbox ohne ambienten Hostzugriff. Das Modul kann genau das, was es in seiner module.yaml deklariert — und sonst nichts.

Was ein Modul deklariert

permissions:
  - net: api.openai.com         # nur ausgehendes HTTPS
  - net: 127.0.0.1:11434         # lokales Ollama
  - fs.read: /var/lib/fai/in     # nur-lese-Verzeichnis
  - fs.write: /var/lib/fai/out   # schreibbares Verzeichnis
  - env: OPENAI_API_KEY          # eine bestimmte Umgebungsvariable
  - hub: invoke                  # andere Module aufrufen

Was nicht auf der Liste steht, ist zur Laufzeit unmöglich. Ein Modul, das net: vergisst, kann das Netzwerk gar nicht erreichen. Der WasiCtxBuilder des Hubs verdrahtet nur die deklarierten Preopens und Env-Vars — keine Hintertür.

Was der Operator kontrolliert

Operatoren setzen ihre eigene Obergrenze in ~/.fai/config.yaml:

security:
  module_allowlist:               # nur diese Module laden
    - "text.*"
  module_denylist:                # diese nie laden
    - "experimental.*"
  max_permissions:                # Cap je Scope
    net: ["api.openai.com"]
    fs.read: ["/var/lib/fai"]
  require_signatures: true        # unsignierte Bundles ablehnen
  require_sbom: true              # Bundles ohne CycloneDX ablehnen

Module, deren Berechtigungen die Operator-Obergrenze überschreiten, scheitern beim Laden mit explizitem Fehler. Die Operator-Obergrenze ist die zweite Schleuse; die Modul-eigene Deklaration ist die erste.

Was du in dieser App siehst

  • Das Store-Detail-Sheet eines installierten Moduls zeigt die Berechtigungsliste mit Icons (net: Globus, fs.read: Ordner, fs.write: Stift, env: Terminal).
  • Die Diagnose-Seite zeigt Modul-Anzahl und Capability- Anzahl im Summary.
  • Ein Flow-Lauf, der eine Berechtigung verletzt, schlägt mit benanntem Fehler fehl (PermissionDenied: net:example.com) — sichtbar im Protokoll.

Was es nicht gibt

  • Keine Prozess-Isolation zwischen Modulen. Alle laufen im einen Hub-Prozess. Ein WASM-Trap eskaliert zum Flow-Schritt-Fehler, nicht zum Hub-Crash, aber Speicher-Überlastung in einem Modul kann die anderen beeinträchtigen. Pooled-Instance-Modus ist auf der Roadmap.
  • Keine Live-Policy-Backend (OPA-artige Laufzeit- Entscheidungen). Berechtigungslisten sind statisch zur Modul-Ladezeit. Kunden-getrieben; aufgeschoben bis ein echter Einsatz es braucht.