Code Interpreter внутри Jay Copilot: безопасный запуск кода в on-prem и hybrid-поставке
Корпоративные команды ждут от AI-платформ не только умных исследовательских ответов, но и практической пользы: обработать Excel или CSV, объединить файлы, посчитать метрики, построить графики или собрать отчет. Для этого нейросеть должна не просто генерировать текст, а писать и запускать код. Однако выполнение кода, созданного моделью, — это потенциальный риск для инфраструктуры: такой код не должен иметь доступ к операционной системе, сети, локальным файлам или внутренним сервисам компании.
Для полной безопасности платформа Jay Copilot может быть развернута внутри контура компании или в гибридном варианте (когда сочетается on-premise и облачное решение), а безопасность исполнения кода обеспечивает изолированная среда, где Python-код выполняется в контейнере с ограничениями и без доступа к критичным ресурсам. Это позволяет автоматизировать обработку данных и вычисления, не подвергая риску корпоративные системы. При этом защиту чувствительной информации и контроль передачи данных в LLM берет на себя отдельный инструмент — Jay Guard.
В этой статье разберем, что такое Code Interpreter, зачем он нужен в корпоративной AI-платформе и как он помогает безопасно выполнять код в Jay Copilot и работать с файлами внутри инфраструктуры компании.
Code Interpreter: архитектура безопасного выполнения кода
Чтобы AI-ассистент мог обрабатывать файлы — строить графики или анализировать таблицы — ему необходимо выполнять код. Если в процессе решения задачи ассистент понимает, что нужен скрипт на Python, он генерирует его с помощью LLM. В тот момент, когда LLM пишет свою первую строку кода, возникает вопрос безопасности: где должен выполняться код? Именно тут становится необходим Code Interpreter.
Это специально созданная, изолированная среда, предназначенная для безопасного запуска кода, сгенерированного LLM. Главная функция любой песочницы — изоляция: она отделяет выполнение потенциально ненадежного кода от основной производственной среды. Благодаря этому сгенерированный скрипт не может получить несанкционированный доступ к данным, повлиять на инфраструктуру или чрезмерно потребить ресурсы. Даже если код поведет себя вредоносно или непредсказуемо, радиус поражения будет ограничен пределами этой одноразовой песочницы.
Помимо изоляции, важным элементом корпоративной безопасности является аудит. Все запуски кода внутри песочницы логируются: фиксируется, кто и когда инициировал выполнение, какой скрипт был запущен, какие ресурсы использовались и какой результат был получен. Это обеспечивает прозрачность, упрощает расследование инцидентов и помогает соответствовать требованиям ИБ и комплаенса.
Принципы изоляции, лежащие в основе песочницы
Проблемы безопасности, связанные с выполнением кода, сгенерированного LLM, принципиально отличаются от традиционных проблем безопасности программного обеспечения. Традиционные приложения пишутся разработчиками-людьми, которые понимают контекст системы, границы безопасности и потенциальные последствия своего кода. Код, сгенерированный LLM, однако, возникает из статистических закономерностей в обучающих данных без присущего ему понимания последствий для безопасности или границ системы.
Когда LLM пишет код для решения задачи, она не задумывается о безопасности. Для модели нет разницы, безопасная это операция или потенциально рискованная. Если по логике задачи «похоже, что нужно открыть файл», «сходить в сеть» или «запустить ресурсоемкий процесс», она просто сгенерирует такой код.
Проблема в том, что запуск сгенерированного LLM кода в корпоративной среде уже сам по себе риск. Скрипт может случайно получить доступ к локальным данным, внутренним сервисам или перегрузить систему. И это не обязательно злой умысел — модель просто повторяет типовые решения из обучающих данных и не понимает границ вашей инфраструктуры.
Сложность еще и в том, что такой код выглядит вполне нормальным. Он запускается, считает цифры, строит отчеты — все как нужно. Но внутри могут быть лишние доступы или уязвимости, которые проявятся только в определенных условиях. Обычные проверки безопасности здесь помогают не всегда: формально скрипт «делает работу», но при этом создает дополнительные точки риска.
Поэтому в корпоративных AI-платформах код от модели изначально считают недоверенным. Его не пускают напрямую в систему, а запускают в изолированной среде — песочнице, где нет доступа к сети, файловой системе и внутренним сервисам. Даже если что-то пойдет не так, за пределы этой среды проблема не выйдет.
Подходы к изоляции: контейнеры
Самый распространенный способ безопасно запускать код от AI — контейнеры, чаще всего Docker. Это отдельная мини-среда внутри сервера, которая живет по своим правилам и не имеет прямого доступа к основной системе.
Код выполняется не напрямую на хосте, а внутри такого контейнера. У него своя файловая система, свои процессы и сетевые ограничения. Если скрипт попробует прочитать лишние файлы, сходить во внешнюю сеть или потребить слишком много ресурсов, контейнер просто не даст это сделать. Пример реализации сервиса, который запускает код в таких контейнерах, с открытым исходным кодом можно посмотреть на GitHub.
При этом внутри можно развернуть все необходимое для работы: Python, библиотеки, инструменты для анализа данных. Для пользователя это обычная рабочая среда, а для инфраструктуры — изолированный и контролируемый периметр.
В Jay Copilot используется именно Docker. Каждый запуск кода происходит в отдельных Python notebooks с жесткими ограничениями по доступам и ресурсам. Задача выполнена — контейнер удаляется вместе со всеми данными.
В Jay Copilot код исполняется локально. Файлы On-Prem и Hybrid- клиентов не покидают инфраструктуру компании. Для этого используется Code Interpreter — встроенный инструмент, который и запускает весь сгенерированный Python-код внутри изолированного Docker-контейнера.
Code Interpreter: наша реализация песочницы
Выше мы разобрали общий принцип: код, сгенерированный LLM нельзя запускать напрямую в инфраструктуре — ему нужна изолированная среда. В архитектуре Jay Copilot такую роль выполняет Code Interpreter — встроенный инструмент, который и запускает весь сгенерированный Python-код внутри изолированного Docker-контейнера.
Когда мы проектировали Code Interpreter, мы отталкивались от главного требования enterprise-клиентов: полный контроль над данными при работе с On-Premise и Hybrid-решениями.
Как это работает в Jay Copilot:
- Постановка задачи. Вы ставите задачу в Ассистенте или другом приложении Jay Copilot. Например: «Проанализируй этот Excel-файл с продажами за год и покажи динамику по регионам в виде графика».
- LLM-модель анализирует. LLM-модель понимает, что для выполнения требуется сложная логика вычислений, и генерирует скрипт на Python.
- Исполнение в изолированной среде. Сгенерированный скрипт и исходный файл передаются на исполнение в Code Interpreter — изолированный Docker-контейнер, откуда данные никуда не попадают.
- Обработка данных. Внутри временного Docker-контейнера скрипт обрабатывает данные, проводит необходимые расчеты и генерирует файл с графиком. Ни один байт информации не покинул ваш контур.
- Возврат результата. Готовый результат (текстовая сводка и файл с графиком) возвращается LLM, которая формирует финальный, структурированный ответ в чате Ассистента или другого приложения.
Время на решение задачи сокращается с нескольких часов до одной минуты. При этом весь процесс происходит в замкнутом, безопасном контуре, полностью соответствуя требованиям ИБ.
Что в итоге
В Jay Copilot можно безопасно обрабатывать любые данные клиента — запускать код, анализировать файлы, строить отчеты — без риска для инфраструктуры и конфиденциальности. Все вычисления и операции проходят внутри защищенного пространства, которое исключает утечку информации и несанкционированный доступ.
