Amazon опубликовала открытый проект REX (Trusted Remote Execution) — движок безопасного выполнения скриптов, в котором разрешения жёстко привязаны к каждому конкретному скрипту, а не к пользователю или процессу в целом. Исходный код написан на Rust, лицензия Apache 2.0, опубликован на GitHub. Скрипты работают в изолированном sandbox: каждый вызов — открытие файла, сетевой запрос, запуск процесса — авторизируется до выполнения.
Контекст
Проблема, которую решает REX, — не новая, но резко обострившаяся с приходом AI-агентов. Агент получает запрос, генерирует скрипт, скрипт исполняется на хосте. Если злоумышленник подменяет запрос или вводит агента в заблуждение через prompt injection, скрипт может сделать что угодно: удалить файлы, слить данные, открыть сетевое соединение. Классический unix-разграничение прав тут не спасает: агент работает от имени авторизованного пользователя.
Amazon выбрала архитектуру с разделением правил и кода. Скрипты пишутся на Rhai — языке с динамической типизацией и синтаксисом, близким к смеси JavaScript и Rust. Правила описываются на языке Cedar — это тот же движок политик, который Amazon использует в AWS. Критически важно: правила определяет владелец сервиса, а не создатель скрипта и не тот, кто его запускает.
Для защиты от атак через символические ссылки и состояний гонки REX работает с файловыми дескрипторами, а не с путями. По умолчанию скрипт вообще не имеет прямого доступа к хосту — только через авторизованные Rust API. Пример из документации: скрипт для разбора логов получает права только на чтение конкретного лог-файла. Попытка удалить или изменить файл — блокируется на уровне движка.
Аналитика
REX — это инфраструктурный слой, которого остро не хватало в agentic-стеке. Сейчас большинство AI-агентов работают по принципу «дать агенту права пользователя». Это работает в demo, но не в production с реальными данными. Prompt injection атаки, где вредоносный контент в обрабатываемом документе или на сайте перехватывает управление агентом — уже не теоретическая угроза, а задокументированные инциденты.
Модель REX переносит контроль туда, где ему и место — к владельцу сервиса, а не к агенту или пользователю. Это меняет threat model: даже если агент скомпрометирован, максимум вреда ограничен декларированными правилами. Важно, что Cedar — зрелый язык политик с формальной верификацией, уже используемый в AWS для IAM-решений. Amazon не изобретает велосипед, а переносит проверенную технологию в новый контекст.
Открытая лицензия и Rust в основе — сильный сигнал для рынка. Компании, строящие AI-агентов для корпоративного сегмента, смогут встраивать REX в свой стек без vendor lock-in. Ожидаемо, что вокруг него вырастет экосистема — готовые профили политик для типовых задач (работа с БД, файловая система, сетевые запросы), интеграции с популярными agent-фреймворками.
Кейсы применения в бизнесе
B2B-SaaS стартап с AI-агентами: если ваш продукт позволяет клиентам запускать автоматизацию на своих данных, REX даёт возможность гарантировать изоляцию — скрипт клиента А физически не может затронуть данные клиента Б. Это снимает целый класс вопросов на security-ревью от enterprise-покупателей и упрощает получение SOC2-аттестации.
Корпорация с legacy-инфраструктурой: внутренние AI-ассистенты, которые помогают ИТ-отделу автоматизировать рутину — патчинг, ротация логов, деплой конфигов. REX позволяет развернуть такие агенты с детальным аудит-логом каждого системного вызова и политиками, согласованными с ИБ-отделом, без переписывания существующих скриптов.
SMB и локальный бизнес в КР/СНГ: компании, использующие AI-агентов для обработки документов или CRM-данных, получают простой способ объяснить клиентам и регуляторам, что агент физически не может делать ничего за пределами описанных правил. В условиях Цифрового кодекса КР и требований к локализации данных — конкретный аргумент в пользу безопасности обработки.
Кейсы в личной жизни
Разработчик: если вы строите локальных AI-агентов на базе Claude или открытых LLM для автоматизации своего окружения — REX как библиотека позволяет задать жёсткие правила для каждого скрипта. Агент для рефакторинга кода не сможет случайно удалить .env файл или обратиться в сеть.
Контент-мейкер или фрилансер: если вы отдаёте AI-агенту доступ к своей файловой системе для организации медиатеки или обработки материалов — изолированное выполнение с явными правилами снижает риск случайных потерь данных из-за галлюцинаций или неточных запросов.
Студент или исследователь: REX — хороший учебный пример того, как строить least-privilege архитектуру для agentic-систем. Исходный код на Rust, документированная модель политик Cedar, open source — отличный материал для курсовой по теме безопасности AI-агентов.
Как применить сегодня
- Найдите репозиторий REX на GitHub по запросу
amazon rex trusted-remote-executionи изучите примеры политик Cedar для типовых задач. - Если строите AI-агента с доступом к файловой системе — составьте матрицу: какие операции агенту реально нужны, и оформите это как REX-политику до начала разработки.
- Познакомьтесь с языком Rhai — за 2-3 часа, его синтаксис интуитивен для тех, кто знает JavaScript или Rust. Это вложение окупится при работе с REX-окружением.
- Для уже существующих agent-пайплайнов: проведите аудит — что именно агент может делать сейчас? Часто оказывается, что права избыточны в 3-5 раз по сравнению с реально нужными.
- Следите за интеграциями REX с популярными agent-фреймворками — сообщество уже начало работу над коннекторами.