IronCurtain: как приручить ИИ-агентов, чтобы они не сносили вам почту и аккаунты

Что появилось / что изменилось

Появился IronCurtain — открытый (open source) «железный занавес» между вашим ИИ-агентом и реальными аккаунтами. Проект запустил инженер по безопасности Нильс Провос, много лет работавший с защитой систем.

Главная идея: агент больше не получает прямой доступ к вашей почте, календарю или облаку. Он работает внутри изолированной виртуальной машины, а все его действия проходят через строго заданную политику безопасности — по сути, «конституцию», которую вы формулируете обычным английским языком.

IronCurtain умеет:

• принимать правила в виде простых фраз: например, «агент может читать всю мою почту, может писать людям из контактов без вопросов, всем остальным — только с моего разрешения, никогда не удаляй письма навсегда»;
• преобразовывать этот текст в формальную, детерминированную политику доступа;
• выступать посредником между агентом в виртуальной машине и Model Context Protocol (MCP)‑сервером, который даёт LLM доступ к вашим данным и сервисам;
• вести аудит: хранить лог всех решений по политике и их эволюцию;
• работать с любыми LLM — IronCurtain не привязан к конкретной модели.

Это пока исследовательский прототип, а не готовый потребительский продукт с поддержкой и красивым интерфейсом. Провос прямо рассчитывает на вклад сообщества, а не на массовых пользователей.

Как это работает

Классический агент вроде OpenClaw получает токен от вашей почты или облака и может напрямую читать, писать, удалять и вызывать API. Отсюда истории про массовое удаление писем, агрессивные ответы и даже фишинг против владельца аккаунта.

IronCurtain вставляет между агентом и сервисами дополнительный слой:

1. Виртуальная машина. Агент работает внутри изолированной VM. Он не видит ваших реальных аккаунтов и не может напрямую дергать их API.
2. Политика‑«конституция». Вы описываете на обычном английском, что агенту можно, а что нельзя. Без JSON‑схем и ручной настройки ACL.
3. Преобразование политики. IronCurtain прогоняет ваш текст через многошаговый процесс с LLM: из естественного языка получается формальная, строго определённая политика безопасности. Цель — убрать двусмысленности, которые присущи стохастическим LLM.
4. Посредник между агентом и MCP. Каждый запрос агента наружу IronCurtain сверяет с политикой. Если правило разрешает действие — запрос уходит на MCP‑сервер и дальше к почте, календарю и другим сервисам. Если нет — агент получает отказ или запрос на подтверждение от человека.
5. Обучение на краевых случаях. Когда система сталкивается с ситуацией, которую политика не покрывает, она спрашивает у вас, как поступить, и обновляет «конституцию».

Ключевая идея: превратить размытые «ограничения для ИИ» в чёткие, предсказуемые красные линии, которые не зависят от того, как именно LLM сегодня интерпретирует подсказку.

Что это значит для вас

IronCurtain полезен, если вы:

• уже играете с агентами вроде OpenClaw, которые сами ходят по вашим сервисам;
• боитесь отдать ИИ полный доступ к почте, диску, таск‑менеджеру;
• хотите видеть журнал действий агента и понимать, по какому правилу он что-то сделал или не сделал.

Где IronCurtain уместен:

• личный «секретарь», который сортирует почту, но не имеет права удалять письма навсегда;
• агент по поддержке, который может отвечать клиентам из CRM, но не может менять реквизиты платежей;
• внутренние корпоративные боты, которым нужно чётко ограничить доступ к данным сотрудников и клиентов.

Где лучше не использовать прямо сейчас:

• если вы не готовы разбираться с open source‑кодом, виртуальными машинами и настройкой LLM — это пока не продукт «для бабушки»;
• если вам нужна гарантия поддержки, SLA и юридические обязательства поставщика.

Про доступность в России: IronCurtain — это код, который вы разворачиваете сами. Ограничения будут зависеть от того, к каким LLM и сервисам вы его подключите. Если вы используете, например, GPT‑4o через OpenAI, может понадобиться VPN и обход блокировок. Если подключаете локальную модель и свои сервисы — всё работает внутри вашей инфраструктуры.

Практический совет: если вы уже даёте агентам доступ к реальным аккаунтам, стоит хотя бы посмотреть на архитектуру IronCurtain как на шаблон. Даже если вы не будете использовать этот конкретный проект, сама идея «конституции» и промежуточного слоя сильно снижает риск того, что бот однажды решит «почистить вам жизнь» без спроса.

Место на рынке

Прямых цифр по скорости, стоимости или задержкам у IronCurtain пока нет: это исследовательский прототип, а не коммерческий продукт с бенчмарками.

Зато есть понятное отличие по архитектуре:

• OpenClaw и похожие агенты: прямой доступ к аккаунтам по API, минимум ограничений, максимум удобства — и максимум риска, что агент начнёт вести себя непредсказуемо.
• IronCurtain: агент сидит в виртуальной машине, все действия проходят через политику, которую вы описали словами. Появляется слой контроля, которого сейчас нет ни у почтовых сервисов, ни у большинства интеграций с ИИ.

IronCurtain не конкурирует с GPT‑4o, Claude 3 или другими моделями: он работает поверх них и может использовать любую LLM. Конкурентов у него сейчас скорее в виде подхода: кто первым сделает удобный и массовый «фаерволл для ИИ‑агентов».

Минусы подхода IronCurtain:

• дополнительная сложность инфраструктуры — виртуальные машины, MCP, политика, логи;
• возможные задержки из‑за промежуточного слоя;
• отсутствие готового коммерческого продукта и поддержки.

Плюсы:

• чёткие правила вместо надежды на «разумность» LLM;
• понятный аудит действий агента;
• независимость от конкретной модели и поставщика.

Если вы строите серьёзную систему с агентами и отвечаете за безопасность данных, IronCurtain — это не «ещё один бот», а скорее каркас, вокруг которого можно выстроить безопасную архитектуру. Для обычного пользователя это пока скорее ранний сигнал: эра «агенты сами ходят по вашим аккаунтам» уже началась, и без подобных «конституций» она быстро превращается в хаос.