اگر به مشتریان اجازه دهید روی سرورهای شما کد اجرا کنند، تنها یک خطای امنیتی تا سقوط کامل سیستم و نشت تمام دادهها فاصله دارید. Nango برای مدیریت این ریسک در ۱۵۰ میلیون تابع ماهانه، هر مشتری را در یک مرز مجازی کاملاً مجزا محبوس کرده است.
بسیاری از پلتفرمهای مدرن به عنوان قطب اتصال خدمات مختلف عمل میکنند. در این حالت، مشتریان برای اتصال سرویسهایی مثل Slack یا Salesforce، کدهایی مینویسند که «ناپایدار» یا «نامطمئن» هستند. این کدها میتوانند حافظه سیستم را تخلیه کنند یا شبکه داخلی شما را هدف قرار دهند. به نقل از وبلاگ رسمی Nango در تاریخ ۹ ژوئن ۲۰۲۶، سندباکسهای (Sandbox) نرمافزاری — که شبیه به یک جعبه ایمنی برای نگهداری مواد خطرناک است تا به محیط بیرون آسیب نرسانند — دیگر برای این مقیاس پاسخگو نبودند.
همانطور که در تحلیلهای پیشین ما درباره امنیت مدلهای هوش مصنوعی زاینده (Generative AI) اشاره کردیم، هر نقطهی دسترسی کد خارجی، یک تهدید بالقوه است. تیم Nango ابتدا از vm2 استفاده میکرد؛ یک سندباکس در Node.js که ساده بود اما در برابر حملات «فرار از سندباکس» شکست میخورد. برای حل این مشکل، آنها مدلی را طراحی کردند که در آن یک توزیعکننده، کدها را از طریق HTTP به یک «راندرو» (Runner) مجزا میفرستاد.
تا اواخر سال ۲۰۲۵، این شرکت به AWS Lambda کوچ کرد تا عدالت در مصرف منابع و نظارت بر سیستم را بهبود دهد. بر اساس مستندات فنی Nango، این ارتقا دو تغییر کلیدی ایجاد کرد:
- اجرای قابل بازیابی: چون توابع Lambda حداکثر ۱۵ دقیقه زمان دارند، Nango محدودیت ۱۰ دقیقهای و قابلیت «نقاط بازگشت» (Checkpoints) را اضافه کرد تا کارهای طولانی از همانجا ادامه یابند.
- تثبیت مستاجر (Tenant Pinning): برای اینکه مشتریان مختلف از یک محیط «گرم» مشترک استفاده نکنند، هر مشتری به یک تابع Lambda اختصاصی متصل شد.
این تصمیم یک هزینه سنگین داشت. نرخ Cold Start (کولد استارت) — یعنی همان لحظاتی که سیستم مثل ماشین در زمستان، زمان میبرد تا گرم شود و شروع به کار کند — از ۱٪ به ۹٪ رسید. این یعنی چند ثانیه تأخیر بیشتر برای برخی درخواستها. اما نتیجه امنیتی مطلق بود: حالا اگر کدی فرار کند، فقط به دادههایی دسترسی دارد که کاربر خودش مالک آنهاست.
این تجربه ثابت میکند که دیوارهای نرمافزاری برای محیط تولید (Production) بیش از حد شکننده هستند. Nango ترجیح داد سرعت را فدای یک مرز سختافزاری کند. با ظهور عاملهای (Agents) هوش مصنوعی که کدها را در لحظه تولید و اجرا میکنند، این سطح از ایزولاسیون تنها استاندارد پذیرفتهشده برای صنعت خواهد بود.
گام بعدی شما
- اگر سیستم چندمستاجری (Multi-tenant) دارید، ریسک استفاده از سندباکسهای نرمافزاری را در برابر حملات Sandbox Escape بررسی کنید.
- برای کاهش اثر Cold Start در Lambda، استراتژیهای گرمکردن توابع را با مدل Tenant Pinning تطبیق دهید.
- پیادهسازی متنباز Nango را بررسی کنید تا ببینید چگونه مرزهای امنیتی را با کارایی (Performance) متعادل کردهاند.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به بررسی ما درباره تکامل تراشههای پردازشی برای ایزولاسیون دادهها مراجعه کنید.
گفتگو