WebAssembly による安全な Python サンドボックスの構築と公開

数年来、サンドボックス内でのコード実行方法を模索していましたが、今回の試みが長らく求められていた要件をすべて満たす成果となりました。これは「micropython-wasm（アルファ版）」としてリリースし、「datasette-agent-micropython」プラグイン内で使用しています。

なぜサンドボックスが必要なのか

主なオープンソースプロジェクト（Datasette, LLM, sqlite-utils など）はプラグインをサポートしており、慎重に設計されたシステムはリスクをゼロに近づけます。朝まで新機能を追加でき、プルリクエストの確認さえ不要です。

• 現在の課題: プラグインは Python と Pluggy を使用し、完全な権限で実行されます。
  • 脆弱性の多いマルウェアや悪意あるプラグインがシステムを崩壊させたり、機密情報を漏洩したりする恐れがあります。
• 望ましい挙動: プラグイン風コードを実行しつつも、以下の制限を加える必要があります。
  • 未承認ファイルへの読み取り不可
  • ネットワーク接続不可
  • 有害な動作全般の防止
• 利用シーン: コード実行が必要な機能のサポート。
  • テーブル内の値をコードで変換（Datasette Enrichments の実験）
  • 承認済み JSON からデータを取得し、辞書形式に変換後、SQLite に挿入

私がサンドボックスに求める要件

自社の Python アプリケーション内で安全にコードを実行するために、以下の条件が必須です。

• 依存関係
  • PyPI でクリーンにインストール可能。
  • 必要に応じてマルチプラットフォーム対応のバイナリホイールを含める。
  • 追加の手順（手動でのライブラリ設置など）は不要。
• 制限 (Limits)
  • メモリーと CPU の両方に制限を課す。
  • 無限ループ (

    while True

    ) によるクラッシュを防ぐ。
• ファイルへのアクセス
  • 厳密な制御、または完全なファイルシステムの無効化。
  • どのファイルを読み書きできるかの定義が必要。
• ネットワークへのアクセス
  • ホストの管理するレイヤーを経由せず外部と通信できないように制限。
• 対話機能
  • ホスト関数との相互作用をサポート（プラットフォーム機能を適切に暴露）。
• 信頼性
  • ロバストでサポートがあり、明確なドキュメントが必要。
  • メンテナンスが続けられていること。

WebAssembly が最適な理由

Web ブラウザは悪意のあるコードと対峙する過酷な環境であり、JavaScript エンジンはサンドボックスとして有力ですが、複雑すぎて他プロジェクトへの埋め込みが困難です。V8-in-Python 系プロジェクトも更新が遅く、不信任コードとの併用には注意が必要です。

• WebAssembly (Wasm) の利点
  • ブラウザで長期間テストされており、安定性が高い。

  • wasmtime

    Python ライブラリは活発にメンテナンスされ、バイナリホイールが提供されています。
• Python 実装の課題
  • Rust など静的言語は直接コンパイルしやすいが、動的言語（Python）はランタイムが必要なため困難。

  • Pyodide

    はブラウザ向けだが、サーバーサイドでの利用はサポートされていない。

WebAssembly 内での MicroPython 選定理由

MicroPython は「軽量で効率的な実装」であり、標準ライブラリの一部を備え、制約のある環境（WebAssembly）への最適化が可能です。

MicroPython は Python 3 プログラミング言語の軽量で効率的な実装であり、Python 標準ライブラリのサブセットを含み、マイクロコントローラーや制約のある環境での実行に最適化されています。

第 1 バージョンの開発工程

GPT-5.5 Pro を用いた調査により、Yamamoto Takahashi 氏の MicroPython WASI サポート PR が発見されました。これを基に以下が構築されました。

• 初期実装: research.md に基づき、独自版 MicroPython の WebAssembly コンパイルスクリプトを作成。

  • /tmp

    ディレクトリからコードを取得する仕組みを実装。
• 永続化インタープリタの課題解決:
  • 単一エントリーポイント（起動→実行→停止）ではメモリの再利用が困難。
  • スレッドを起動し、リクエストキューを設定。

    session.run()

    でキューにメッセージを送信する仕組みを導入。
• 内部ロジック:
  1. WebAssembly 内の MicroPython インタプリタは

     __session_next__()

     関数を呼び出し、次のコードブロックを待つ（ブロック）。
  2. ホスト側でコードを取得し、

     eval()

     で実行。
  3. 正常終了時は

     __session_result__({"id": request_id, "ok": True})

     を発行。

Python での使用例

from micropython_wasm import MicroPythonSession

with MicroPythonSession() as session:
    # 変数の設定と出力
    print(session.run("x = 10\nprint(x)").stdout) 
    # 算術演算
    print(session.run("x += 5\nprint(x)").stdout)
    # 演算結果の出力
    print(session.run("print(x * 2)").stdout)

ホスト関数の暴露 (C コードによる実装)

プラグインから呼び出されるホスト関数を安全に暴露するために、Codex が 78 行の C コード で解決しました。これにより約 362KB の WebAssembly バインディングが生成されています。

• リスク: C コードへの依存ですが、最悪の結果は WebAssembly 実行失敗のみであり、受け入れるレベルです。

リソース制限の設定

• メモリー:

  wasmtime

  が直接サポート。
• CPU (燃料): wasmtime は「燃料 (fuel)」という仕組みを提供し、呼び出し可能な操作数を制限できます。
  • 現在デフォルト設定を 2,000 万 に experimenting し、最適値を探る段階です。

ご自身でお試しください

micropython-wasm

コマンドラインでの試行

# 基本動作の確認
uvx micropython-wasm -c 'print("Hello world")'

# 燃料切れ時の挙動 (無限ループによる除外)
uvx micropython-wasm -c 's = ""; while True: s += "longer"'

# 出力結果：micropython-wasm: guest exited with code 1

Datasette Agent での試行

以下のコマンドでプラグインを組み合わせた環境を作成します。

uvx llm keys set openai
# OpenAI キーを貼り付け後、以下を実行
uvx --with datasette-agent \
  --with datasette-agent-micropython \
  --prerelease allow \
  datasette --internal internal.db \
    -s plugins.datasette-llm.default_model gpt-5.5 \
    --root -o

アクセス後、以下のプロンプトを入力すると動作確認が可能です。

micropython の例を見せてください

ライブデモは GitHub アカウントでの

agent.datasette.io

まとめ：このサンドボックスを信用すべきか？

不成熟なライブラリへの不満を持っていた私が、ついに独自構築のサンドボックスを公開するのは皮肉ですが、現実的な選択です。

• 現状: 重大なリスクを受け入れられない方へは未だ推奨できません（アルファ版のため）。
• 自己検証: 十分なテストにより、自分自身での使用には問題ないと確認済み。
• 実証:

  datasette-agent-micropython

  で GPT-5.5 xhigh を固定し、サンドボックスからの脱出を試みたが成功していない。
• 展望: 専門的なセキュリティチームがいる企業向けに説得力のある Open Source 解決策として採用されれば幸いです。